Podľa úradu je stupeň ohrozenia “vysoký – hrozba je pravdepodobná až veľmi pravdepodobná”.
Dôvodom tohto varovania je, že “TikTok, ktorý vyvinula a prevádzkuje čínska spoločnosť ByteDance , zhromažďuje nadmerné množstvo údajov používateľov”.
S odvolaním sa na výročnú správu Bezpečnostnej informačnej služby (BIS) za rok 2021 NCIS ďalej uvádza, že “ČĽR predstavuje rastúcu komplexnú spravodajskú hrozbu”.
ByteDance je subjekt, ktorý podlieha čínskym vnútroštátnym právnym predpisom. Napríklad zákony ČĽR o štátnej bezpečnosti a štátnej spravodajskej činnosti ukladajú všetkým čínskym občanom a organizáciám všeobecnú povinnosť poskytovať pomoc štátnym orgánom v otázkach štátnej bezpečnosti, povinnosť podporovať národné spravodajské činnosti a povinnosť poskytovať spoluprácu a informácie o zahraničných klientoch čínskych spoločností v prípade, že ich štátne orgány podozrievajú zo špionážnej činnosti.
“Údaje získané spoločnosťou ByteDance sa tak môžu použiť na cielenie kybernetických útokov na konkrétne osoby a zvýšiť tak riziko ich úspechu (napr. prostredníctvom spear phishingu). Zároveň môžu byť tieto údaje použité na vydieranie záujmových osôb, a tak ohroziť bezpečnosť alebo strategické záujmy Českej republiky.”
Viac informácií nájdete na https://www.nukib.cz/download/uredni_deska/2023-03-08_Varovani-TikTok_final.pdf
Prečo je TikTok hrozbou? A čo iné aplikácie?
Pomocou open source nástroja MobSF sme vykonali rýchlu statickú analýzu aplikácie. Čo sme zistili?
🔴 TIKTOK na zariadeniach Apple
Verzia aplikácie pre iOS: 28.4.0, ID: com.zhiliaoapp.musically
❌ Skóre bezpečnosti: 38/100
Hodnotenie rizika: C (vysoké riziko)
Hlavné problémy:
- Aplikácia požaduje prístup k fotoaparátu, knižnici fotografií, hudbe, mikrofónu, kalendáru, kontaktom, zisťovaniu polohy, aj keď beží na pozadí.
- Obmedzenia zabezpečenia prenosu aplikácie sú vypnuté pre všetky pripojenia – to umožňuje zabudovanému prehliadaču zachytávať všetky údaje, ktoré používateľ zadá do aplikácie. Preto aj po načítaní aplikácie TikTok webové stránky tretích strán – napr. e-shop.
- Aplikácia môže byť náchylná na zneužitie známych zraniteľností CWE-676: Použitie potenciálne nebezpečnej funkcie, CWE-789: Nekontrolovaná alokácia pamäte
🔴 TIKTOK v systéme Android
Verzia aplikácie pre Android: 28.3.3, ID: com.zhiliaoapp.musically
❌ Skóre bezpečnosti: 40/100
Hodnotenie rizika: B (stredné riziko)!
Aj na platforme Android sú problémy podobné:
- Aplikácia vyžaduje 75 povolení
- Pokus o obídenie pripnutia SSL
- Používa slabé šifrovacie algoritmy, posiela údaje v otvorenej forme (čistý text).
- Zachytáva všetky údaje zadané používateľom v rámci aplikácie
A čo iné platformy?
Je dôležité poznamenať, že iné sociálne aplikácie, ako napr. Instagram, Facebook, Twitter atď.
Pre zaujímavosť sme sa pozreli na aplikáciu Instagram pre iOS. Ako sa jej darí? Spoločnosť Meta, ktorá stojí za aplikáciou Instagram, síce nepodlieha čínskym zákonom, ale jej správanie je stále alarmujúce.
🔴 INSTAGRAM pre zariadenia Apple
Identifikátor: com.zhiliaoapp.musically
❌ Skóre bezpečnosti: 26/100
Hodnotenie Rist: F (kritické riziko)❗️❗️
Varovanie je jedna vec, ale ako technicky realizovať príslušné opatrenia?
Správa mobilných zariadení (MDM) alebo jednotná správa koncových zariadení (UEM) je riešenie, ktoré:
V prípade čistého pracovného zariadenia (COBO) môže:
- Buď úplne kontrolovať inštaláciu aplikácií a obmedziť zoznam aplikácií na tie, ktoré sú výslovne povolené,
- alebo detekovať nežiaduce aplikácie a automatizovať nápravné opatrenia – napr. dočasne zablokovať prístup zariadenia k údajom organizácie.
Inštalácii alebo používaniu aplikácie TikTok možno úplne zabrániť.
V prípade BYOD alebo firemných zariadení so súkromným profilom (COPE) môže:
- Zabezpečte údaje organizácie pomocou technológie kontajnerizácie a oddeľte ich od súkromných údajov.
- Obmedzte prístup ku kalendáru a kontaktom v pracovnom profile.
- Ovládajte zdieľanie údajov pomocou schránky medzi súkromnými a firemnými profilmi.
Môže preto obmedziť rozsah údajov, ku ktorým má TikTok prístup.
Nové verzie mobilných operačných systémov kladú veľký dôraz na ochranu súkromia používateľov. Preto už nie je potrebné zisťovať tzv. neodstrániteľné identifikátory zariadenia (MAC, IMEI…) na úrovni aplikácie a používať ich na sledovanie zariadenia.
Pomocou správy mobilných zariadení môžeme vynútiť aktualizáciu operačného systému (OS) a tiež definovať minimálnu verziu OS povolenú na prístup k údajom organizácie.
Ďalšou úrovňou mobilnej bezpečnosti je integrácia riešení MDM/UEM s modernými nástrojmi na ochranu pred mobilnými hrozbami (MTD).
Pomocou MTD môžeme zariadenia chrániť pred ďalšími vektormi útokov, ako je zvýšenie oprávnení, prevzatie zariadenia, sieťové útoky a phishing.