TikTok spiava il traffico dei suoi utenti Android

L’app cinese poteva vederne il traffico acquisendo il loro indirizzo MAC. Questa caratteristica era criptata, probabilmente per evitare che Google la bloccasse

(Photo by NARINDER NANU/AFP via Getty Images)

Non sono giorni facili quelli di TikTok. Il cronometro corre veloce per l’app cinese da quando il presidente Trump ha imposto con un ordine esecutivo che nessuna azienda americana possa intrattenere affari con quella cinese a partire da metà settembre. Poiché questo di fatto comporterebbe per Google e Apple di rimuoverla dai propri app store, l’unica soluzione è quella di vendere TikTok ad un’azienda americana, probabilmente Microsoft anche se di recente anche Twitter e Netflix sono sembrate interessate.

L’accusa che regge l’ordine esecutivo è il timore che i dati di milioni di americani non siano al sicuro e che Pechino usi l’app come cavallo di Troia per spiarli. Benché l’ingerenza diretta  del governo cinese non sia stata dimostrata, secondo quanto rivelato dal Wall Street Journal, fino a novembre l’app di proprietà di ByteDance avrebbe avuto accesso agli indirizzi MAC dei suoi utenti Android. Questi indirizzi sono codici unici per ogni device e non sono modificabili. Differentemente dai cookie, infatti, non è possibile cancellarli o negare l’autorizzazione ed è per questo che sono molto appetibili per chi vuole tracciare i propri utenti. Per chi infatti vive di inserzioni pubblicitarie, tanto più redditizie quanto un utente è profilato, poterne analizzare le abitudini senza che questi possa impedirlo è una miniera d’oro di informazioni.

TikTok l’avrebbe fatto sfruttando una vulnerabilità di Android e senza rivelarlo a Google. L’accesso agli indirizzi MAC fu proibito da Apple già nel 2013 mentre Google fece lo stesso nel 2015. Tuttavia, benché Mountain View infatti lo proibisca esplicitamente anche nelle sue policy per gli sviluppatori, secondo una ricerca di AppCensus esiste ancora un 1% di app Android che violerebbe questa policy. Al Wall Street Journal TikTok ha solo commentato che al momento l’app non raccoglie gli indirizzi MAC e che come altre app lavora costantemente per aggiornare la sicurezza.

Difficile dire però si tratti di una svista. Ad accrescere i dubbi a riguardo è il fatto inusuale che i dati raccolti sugli utenti, incluso l’indirizzo MAC, siano criptati due volte. Il sospetto è che TikTok abbia agito in questo modo per nascondere a Google ed Apple che dati raccoglie sui suoi utenti visto che secondo Nathan Good, ricercatore dell’International Digital Accountability Council, quel livello di crittografia aggiuntivo non è necessario alla tutela della privacy.

Non è la prima volta che TikTok viene scoperta con le mani nella marmellata. A giugno, infatti, quando Apple ha rilasciato la prima versione beta di iOS 14 per gli sviluppatori, alcuni di questi hanno notato qualcosa di strano. iOS 14 infatti permette a chi possiede un iPhone o un iPad di Cupertino di sapere quando un’altra applicazione ha accesso ai nostri dati. In un video mostrato su Twitter, si vede come il sistema informi che TikTok sta incollando tutto quello che scriviamo su Instagram, la sua principale rivale.  

L’azienda si è difesa dicendo che si trattasse di una misura antispam e che l’avrebbe rimossa.  Queste pratiche comunque dimostrano la lungimiranza del Garante Italiano della Privacy che già a gennaio, ben prima che queste notizie venissero alla luce, si è mosso per chiedere al board dei garanti europei di aprire un’inchiesta sull’app cinese.

Ma controllare quello che fanno i propri utenti quando non usano la propria app non è pratica solo di TikTok. Benché ora Facebook tenda a rimarcare il pericolo di app che non condividano i valori americani, come ha fatto Zuckerberg alla recente audizione al Congresso, anche Menlo Park non è estranea a tali pratiche.

Due anni fa infatti Apple fu costetta a bandire l’app Onavo Protect, che apparentemente offriva un servizio di VPN proprio per navigare in sicurezza lontano da occhi indiscreti. Peccato che l’app, comprata da Facebook, fu il cavallo di Troia usato per capire che app usavano gli utenti e condusse poi all’acquisizione di WhatsApp

Questo dimostra come una totale mancanza del rispetto della privacy abbia un effetto non solo diretto sui cittadini la cui privacy sia stata violata, ma anche sulla concorrenza. Se i giganti tech ottengono informazioni privilegiate per migliorare i propri algoritmi, ottenendone dunque un vantaggio competitivo rispetto ad altre app, o per capire quale app diventerà the next big thing per poi comprarla, copiarla o schiacciarla, questo ha un impatto enorme sulla concorrenza. Il risultato è che chi è grande continua a diventare grande e diventa sempre più un gatekeeper perché riesce ad avere la forza di bloccare la crescita di altre app, come denunciato dal Congresso Americano

Fonte : Wired