TikTok bir sosyal medya platformu gibi değil, veri toplama şirketi gibi çalışıyor
Çin merkezli şirket ByteDance uygulaması olan TikTok uzun süredir 'veri hırsızlığı' suçlamalarıyla karşı karşıya.
TikTok'un hangi verileri, nasıl ve ne miktarda izlediği, kaydettiği ve uygulamanın telefonlarda ne tür işlemler yapabildiği bir Reddit kullanıcısının dikkatini çekti. Bangorlol isimli kullanıcı 'tersine mühendislik' yaparak uygulamanın çalışma prensibi ortaya çıkardı ve bunu paylaştı. Bangorlol, "Bu uygulamayı kullanmayın ve çocuklardan uzak tutun" ifadelerini kullandı.
Dünyanın en çok kullanılan uygulamalarından biri olan Çin merkezli sosyal medya platformu TikTok ile ilgili 'güvenlik ve gizlilik' ihlali yaptığı iddiaları uzun zamandır biliniyordu. Bangorlol isimli Reddit kullanıcısı 'tersine mühendislik' yöntemiyle bu iddiaların aslını araştırdı ve TikTok'un yaptığı ihlallerin boyutunu gözler önüne serdi.
- Tersine mühendislik, bir cihazın veya makinenin 'çıkarım yoluyla' çalışma prensibini anlama yöntemine verilen ad.
Reddit kullanıcısı TikTok'un yalnızca bir video uygulaması olmadığını, 'video uygulaması kisvesine saklanmış bir veri toplama platformu' olduğunu ifade ediyor.
Tersine mühendislik sonucu elde edilen bulgular
TikTok uygulama programlama arayüzü sayesinde telefondaki 'neredeyse bütün' bilgilere ulaşabiliyor. Uygulamanın ulaşabildiği bilgiler arasında şunlar yer alıyor:
- Telefonun donanımı (İşlemci tipi, number of course, donanım kimliği, ekran boyutları, dpi, hafıza kullanımı, disk alanı vb.);
- İndirilmiş olan diğer uygulamalar (Telefondan daha önce kaldırılmış uygulamalara da TikTok'un analitik veri yükünde rastlanıyor.);
- İnternet bağlantısıyla ilgili her türlü bilgi (IP, yerel IP, modem bilgisi, WI-FI erişim yeri ismi);
- Telefonun yazılımsal herhangi bir işleme tabi tutulup tutulmadığı (Root veya jailbreak gibi)
- Ayrıca uygulama arka planda çalışmadığında bile her 30 saniyede kullanıcı konum bilgisine erişip depoluyor.
Uygulama, yüklenecek medyayı yeniden kodlamak için yerel proxy sunucusu kullanıyor ancak bu durum suistimale açık. Sunucunun kimlik denetimine sahip olmadığı belirtiliyor.
TikTok kullanıcıların bazı özellikleri devre dışı bırakmasını engelliyor
Bangorlol'un aktardığına göre, yerel kütüphanelerden tek tek devre dışı bırakma işlemi yapılmadığı ve TikTok tarafından 'gizlenmiş' işlevlerin izini sürmedikçe uygulama yaptığı bütün logları uzaktan kontrol edebiliyor. TikTok bilinçli olarak kullanıcının uygulamadaki hataları ayıklamasını önlemek için önlemler alıyor. TikTok'a yöneltilen suçlamaları ispata götüren Reddit kullancısı şu ifadeleri kullanıyor:
Ne yaptıklarını anlamaya çalıştığınız anda uygulamanın davranışı da değişiyor.
- ABD'li gizlilik gözlemcisi organizasyonlar Mayıs ayında TikTok'un ABD'deki Çocukların Çevrim İçi Mahremiyetinin Korunması kanuna aykırı ettiği ve çocukları riske attığı gerekçesiyle ABD Federal Ticaret Komisyonuna suç duyurusunda bulunmuştu.
Android telefonlarda büyük tehlike: Sizin yerinize işlemler yapabilir
TikTok'un Android telefonlardaki bir işlevi ise oldukça tehlikeli görünüyor. Uygulama, birkaç kod parçacığı ile uzaktan zip dosyası indirip, sıkıştırılmış dosyayı açtıktan sonra dosyadaki binary kodu işleyebiliyor. Uygulama böylelikle kullanıcı izin vermeden bazı işlemleri gerçekleştirebiliyor.
- TikTok, 2019'da 'çocuklara ait verileri izinsiz topladığı' gerekçesiyle ABD'de 5,7 milyon dolar para cezasına çarptırılmıştı.
'Kopyala yapıştır' bile tehlikeli
Çalışmıyorken dahi kamera ve mikrofona erişim sağlayabilen uygulama, telefonda 'kopyalanan' her türlü metni kaydediyor. Twitter'da bir kullanıcı, iOS 14'ün TikTok'un bu uygulamasını nasıl tespit ettiğini gösterdi:
'Gizli' videolar pek de gizli değil
Hesabınıza yüklediğiniz 'gizli' videolar bile TikTok tarafından kullanılabiliyor. Bu durum TikTok'un kendi reklamlarıyla sınırlı da olmayabilir. Platform en fazla 16-24 yaş arasındaki gençler tarafından kullanılıyor. Çocuk ve gençlerin videoları bu şekilde yanlış kişilerin eline geçebiliyor.
- TikTok'un kullanıcıların gerçek isimlerini, doğum günlerini, mail adreslerini ve kurtarma maillerini sızdırdığı ortaya çıkmıştı. Şirket, insanlardan gelen tepki üzerine bu 'hatayı' düzelttiğini duyurmuştu.
Gizli olmayan tek şey videolar değil. Kullanıcılar TikTok'a kaydolduktan sonra uygulama aracılığıyla gönderilen mesajlarının içeriğini ve 'bu içeriğin analiz edilmesini' kabul etmiş oluyorlar.
TikTok topladığı bu kadar veriyi ne yapıyor?
TikTok'un topladığı verinin temel alıcısının Çin hükümeti olduğu biliniyor. ABD Donanması 2019 Aralık ayında TikTok'un hükümet tarafından verilen cep telefonlarında kullanılmasını yasakladı. Yasağın gerekçesi 'ulusal güvenliğe tehdit' olarak gösterildi. TikTok uygulamasını kaldırmayanların internete girişinin yasaklanacağı da bildirildi.
- Başka bir Reddit kullanıcısı uygulamayı kullanmadığı halde uygulamanın arka planda 1 gb'lık veri kullandığını ifade etti.
Bütün güvenlik ve gizlilik ihlallerini, izi sürülen ve depolanan verilerin önemi ve boyutları düşününce, TikTok'un Microsoft, Google gibi dev şirketlerden kat be kat daha fazla 'veri hırsızlığı' yaptığı görülüyor.