Guy Who Reverse-Engineered TikTok odhaluje děsivé věci, které se naučil, radí lidem, aby se od toho drželi dál

Facebook se dostal do skandálu s citlivými údaji když s Cambridgem Analytica podnikali temné obchody, Instagram potvrdil bezpečnostní problém odhalující uživatelské účty a telefonní čísla , ale tyto aplikace jsou v zásadě online bezpečnostními ráji ve srovnání s TikTokem, podle jednoho staršího softwarového inženýra s přibližně 15letou profesionální zkušeností.

Před 2 měsíci, uživatel Reddit bangorlol přidal komentář v diskusi o TikToku. Bangorlol tvrdil, že to úspěšně zpětně vytvořil a sdílel to, co se dozvěděl o čínské službě sociálních sítí pro sdílení videa. V zásadě důrazně doporučil, aby lidé aplikaci již nikdy nepoužívali, varoval před rušivým sledováním uživatelů a dalšími problémy. Vezmeme-li v úvahu, že TikTok byl 4. nejoblíbenější bezplatnou aplikací pro iPhone ke stažení v roce 2019 , to je docela alarmující.



Kredity obrázků: Marco Verch

Bangorlol není žádný skript. 'Posledních několik let mé kariéry bylo založeno na obracení mobilních aplikací, analýze jejich fungování a vytváření dalších funkcí třetích stran,' řekl Znuděná Panda . 'Hrubým příkladem by bylo, kdybych si všiml, že Twitter vám neukáže na webu sekvenční časovou osu (netušíte, zda ano nebo ne), ale v aplikaci.' Přejdu do verze pro Android nebo iOS, najdu požadavky, které získají správná data, a vytvořím nástroj třetí strany (aplikace, web, rozšíření prohlížeče), který uživatelům tuto funkci poskytne. “

'V poslední době to většinou znamená obrácení API partnerů mé společnosti, takže nemusíme čekat, až pro nás vytvoří něco vlastního.' Lovím štědré odměny, když na to mám čas, nebo pomáhám svým přátelům s jejich (nebo s jejich CTF výzvami). Obecně mám rád bezpečnost a obvykle při změně zaměstnavatele najdu alespoň několik zásadních nedostatků. Jsem druh chlapa typu „zvedák všech obchodů“ v tom smyslu, že mi je pohodlné ve většině oblastí softwarového inženýrství a většinou v pořádku s mnoha bezpečnostními tématy. “

Údajně trvalo čínskému vývojovému týmu 200 dní, než vytvořil původní verzi TikToku, ale když Bangorlol dostal svůj kurzor na svůj kód, neměl šanci. Přesto se pokusilo bojovat. 'TikTok vynaložil velké úsilí na to, aby zabránil lidem jako já přijít na to, jak jejich aplikace funguje.' Na všech úrovních aplikace je spousta zmatků, od standardní proměnné Androidu, která přejmenovává hrubost na (rozdělování) rozvětvení a přizpůsobení ollvm pro své nativní věci. Skrývají funkce, brání debuggerům v připojení a používají pár záludných triků, které věci ztěžují. Upřímně řečeno, je to složitější a otravnější než většina her, na které jsem cílil, “vysvětlil Bangorlol.

Takové utajení je pochopitelné. Zisk TikToku vzrostl úměrně s jeho nárůstem popularity a jeho majitel ByteDance dosáhl v loňském roce čistého zisku ve výši 3 miliard dolarů, podle zprávy Bloomberg .

Bangorlol si myslí, že jsme jako společnost normalizovali rozdávání našich osobních údajů a již neočekáváme žádné soukromí a bezpečnost, takže dávat TikTok naše data společně s našimi penězi není nic překvapivého. 'Obecná shoda mezi většinou„ normálních 'lidí spočívá v tom, že na ně nelze / nebude cíleno, takže je to v pořádku. Nebo že nemají co skrývat, tak „proč by mě to vůbec mělo zajímat?“ Myslím, že apatie pochází od lidí, kteří prostě nerozumí bezpečnostním důsledkům (na všech úrovních) předávání našich údajů zahraniční vládě, která nediskriminuje proti tomu, na koho se zaměřují, a také nemá opravdu nejlepší výsledky, pokud jde o lidská práva, “řekl.

Mějte na paměti, že Bangorlol vydal svůj počáteční komentář před nějakou dobou a aplikace se nedotkl měsíce, a když zveřejnil své nálezy, byly také o několik měsíců pozadu. 'Tato aplikace mohla změnit techniky otisků prstů nebo přidat / odebrat některé ošklivé věci, které dělají.' Důrazně doporučuji výzkumníky v oblasti bezpečnosti, kteří jsou mnohem chytřejší než já a mají více volného času, aby se podívali na aplikaci a zkoumali každý malý detail, který mohou. V nativních knihovnách alespoň pro verzi pro Android se děje spousta věcí, které jsem nedokázal zjistit a neměl jsem čas je dále zkoumat, “dodal.

'TikTok nemusí splňovat přesná kritéria, která se nazývají' Malware ', ale je to určitě hanebné a (podle mého skromného názoru) přímé zlo,' řekl Bangorlol. 'Existuje důvod, proč to vlády zakazují.' Nepoužívejte aplikaci. Nedovolte, aby to používaly vaše děti. Řekněte svým přátelům, aby to přestali používat. Nenabízí vám nic jiného než rychlý zdroj zábavy, který můžete získat jinde, aniž byste předali svá data čínské vládě. Přímo ohrožujete sebe a všechny ve své síti (v práci i doma). “

Tady je to, co lidé řekli poté, co prošli problémy TikToku

instagramové hotties, které odhalují příliš mnoho