Catégories
Start-up et applications

Un rappel frappant sur la sécurité des API alors que l'Inde interdit TikTok pour des raisons de confidentialité

Récemment, le gouvernement indien a déclaré qu'il interdirait TikTok ainsi que des dizaines d'autres applications bien connues développées en Chine, affirmant que les applications menaçaient la «souveraineté et l'intégrité de l'Inde». Cela fait suite à un différend frontalier entre les deux pays le mois dernier qui a entraîné la mort d'au moins 20 soldats indiens.

Au total, 59 applications ont été interdites, notamment l'application de messagerie populaire WeChat et le navigateur mobile UC Browser. Le ministère indien des Technologies de l'information a déclaré que l'interdiction était due aux plaintes des utilisateurs selon lesquelles TikTok «volait et transmettait subrepticement les données des utilisateurs de manière non autorisée».

Maintenant, le groupe de piratage international décentralisé connu sous le nom d'Anonyme a dénoncé l'accusation selon laquelle TikTok est «essentiellement un malware exploité par le gouvernement chinois qui mène une opération d'espionnage massive». Ceci est en réponse à un fil de discussion d'un utilisateur de Reddit qui prétend avoir procédé à une ingénierie inverse de l'application et l'a trouvée comme rien de plus qu'un service de collecte de données à peine voilé.

Selon l'utilisateur bangorlol de Reddit, TikTok utilise des API pour collecter des informations sur les utilisateurs, y compris (citations exactes):

  • Matériel du téléphone (type de processeur, nombre de cours, identifiants matériels, dimensions de l'écran, dpi, utilisation de la mémoire, espace disque, etc.)
  • D'autres applications que vous avez installées (j'ai même vu certaines que j'ai supprimées apparaître dans leur charge utile d'analyse – peut-être utiliser comme valeur en cache?)
  • Tout ce qui concerne le réseau (ip, ip local, routeur mac, votre mac, nom du point d'accès wifi)
  • Que vous soyez enraciné / jailbreaké ou non
  • Certaines variantes de l'application avaient le ping GPS activé à l'époque, environ une fois toutes les 30 secondes – ceci est activé par défaut si vous étiquetez un poste IIRC
  • Ils ont mis en place un serveur proxy local sur votre appareil pour les "médias de transcodage", mais cela peut être utilisé très facilement car il n'a aucune authentification

Si cela ne suffisait pas, bangorlol affirme que TikTok a négligé d'utiliser HTTPS pour crypter le trafic entre son application et ses serveurs. Dans une leçon importante à tout fournisseur d'API sur l'une des cases clés à vérifier lors de l'examen d'un plan de sécurité API, cela pourrait avoir causé et que son API aux adresses e-mail des utilisateurs divulgués et aux e-mails secondaires (utilisés pour les réinitialisations de mot de passe) aux regards indiscrets .

Ces informations doivent encore être vérifiées de manière indépendante par d'autres chercheurs, mais ce n'est pas la première fois que TikTok est accusé au mieux d'une sécurité médiocre et au pire d'activités néfastes. Les forces armées américaines ont décrit l'application comme une menace pour la cybersécurité, le PDG de Reddit, Steve Huffman, l'a décrite comme «fondamentalement parasitaire» et des groupes de défense des enfants ont déposé une plainte déclarant que TikTok ne notifiait pas aux parents des «pratiques concernant la collecte, l'utilisation ou la divulgation de renseignements personnels. "

TikTok a bien sûr nié tout acte répréhensible et d'un point de vue juridique, ils peuvent avoir raison. Mais à ce stade, nous connaissons les dangers de la divulgation de nos informations, surtout quand on ne sait pas exactement combien nous donnons en premier lieu. Les révélations faites par le bangorlol ne sont que les dernières d'une pile croissante de preuves que les utilisateurs de TikTok doivent procéder avec prudence.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *