Phones Using Social Media Protection

Come capire quali informazioni su di noi raccoglie TikTok

TikTok, il popolare social dei giovanissimi, basato sulla condivisione di video, sta continuando a guadagnarsi i titoli dei giornali a causa delle numerose problematiche legate alla sicurezza e le cose non sembrano destinate a migliorare. Recentemente alcuni paesi come gli Stati Uniti ad esempio, sembrano aver preso sul serio la questione, arrivando a bandire il suo utilizzo nei telefoni dei dipendenti dell'esercito e della marina, a seguito dell'allarme lanciato dal dipartimento della difesa riguardo ai potenziali rischi per le informazioni personali. E TikTok ha confermato in questi giorni di aver risolto molteplici vulnerabilità in grado di mettere a rischio la privacy degli account, delle informazioni degli utenti e dei loro video.

Per aiutare gli utenti a comprendere il reale impatto sulla privacy derivato dall'utilizzo di TikTok, il team di ricerca di Proofpoint ha analizzato l'app e il suo comportamento. Di seguito i dettagli sulle informazioni che TikTok raccoglie, invia e conserva.

CHE COS’È TIK TOK E COME SI USA?

TikTok permette agli utenti di creare brevi video della durata di 15 secondi con lo smartphone e pubblicarli pubblicamente sulla loro piattaforma. Ai video possono essere applicati musica di sottofondo ed elementi grafici come filtri o stickers, e attraverso la divisione dello schermo a metà con la modalità “duetto” è possibile anche creare video in condivisione con un altro utente.

Il target demografico molto giovane e la natura dei contenuti che la gente crea e condivide su TikTok hanno fatto accendere, negli ultimi mesi, i riflettori sulla privacy degli utenti di questa piattaforma. Inoltre sono sorti dubbi sul modo in cui i dati vengono conservati, dove e chi può averne accesso.

I nostri ricercatori hanno esaminato la privacy policy di TikTok, i permessi che l'app richiede per il suo funzionamento su Android e iOS, quali informazioni invia ai server, nonché quali strumenti mette a disposizione degli utenti per controllare la privacy dei propri contenuti. Questa analisi ha lo scopo di aiutarvi a comprendere al meglio come TikTok gestisce la privacy dei propri utenti. In tal modo, sarete in grado di decidere se voi, la vostra azienda, o chiunque sia sotto la vostra responsabilità, possa usarla o meno.

TIK TOK - PERICOLI RIGUARDO LA SICUREZZAA

La cosa più importante da comprendere è che, a fronte della possibilità di condividere audio e video sulla piattaforma dandovi la possibilità di limitare l'accesso ai vostri contenuti, TikTok di contro vi richiede una lunga serie di permessi per poter funzionare nei vostri dispositivi. Tra le più rilevanti, essa dovrà avere accesso alla vostra posizione e alle informazioni del vostro dispositivo. Anche se i nostri ricercatori non hanno riscontrato nulla che possa indicare attività malevole o violazioni nella privacy policy di TikTok, raccomandano comunque cautela nell'utilizzo dell'app, soprattutto per quanto riguarda il tipo di contenuti che si registrano e condividono sulla piattaforma di TikTok. La sicurezza è fondamentale.

I PERMESSI RICHIESTI DA TIKTOK INCLUDONO INFORMAZIONI PERSONALI E UN CERTO CONTROLLO SUL VOSTRO DISPOSITIVO

Per prima cosa, i nostri ricercatori hanno analizzato i permessi richiesti da TikTok dopo l'installazione su dispositivi Android e iOS. Mentre tali permessi siano in linea con la privacy policy della piattaforma, qualche preoccupazione nasce quando si va ad analizzare nel dettaglio tutti i dati che essa raccoglie. Nello specifico, questi permessi consentono a TikTok di:

  1. Accedere alla fotocamera (scattando foto o registrando video), al microfono (registrando i suoni), alla connessione WIFI del dispositivo e a tutta la lista di contatti
  2. Determinare se la connessione internet è disponibile ed accedervi
  3. Mantenere acceso il dispositivo ed avviarsi automaticamente quando questo viene riavviato
  4. Ottenere informazioni dettagliate sulla posizione dell'utente, attraverso i dati del GPS e di altre app installate sul telefono
  5. Leggere e scrivere sulla memoria del dispositivo, installare/rimuovere icone, accedere alla torcia (spegnendola e accendendola), richiedere l'installazione di aggiornamenti aggiuntivi

I nostri ricercatori hanno rilevato che TikTok ha pieno accesso ad audio, video e rubrica del dispositivo. Nulla di sorprendente, data la natura multimediale dell'app.

Tuttavia, il tracciamento della posizione tramite GPS è piuttosto sorprendente, soprattutto perché TikTok non mostra nei video alcuna informazione relativa alla posizione. È solamente sulla sua privacy policy che TikTok fa riferimento alla raccolta di informazioni relative alla posizione degli utenti. Afferma che l'utente ha il controllo su questo aspetto: "Il rilevamento della posizione tramite GPS può essere disabilitato sul vostro dispositivo, se non volete condividere tale informazione con l'app".

Su Android, TikTok ha la capacità di accedere ad altre applicazioni in esecuzione sul dispositivo, che possono consentire alle app che hanno attivato tale permesso, di accedere ai dati di un'altra app, come ad esempio l'app per l'home banking. Tuttavia i nostri ricercatori non hanno rilevato alcuna evidenza che TikTok abusi di tale possibilità.

Nell'immagine 1 è possibile vedere i permessi richiesti da TikTok su dispositivo Android.

Lista dei permessi richiesti da TikTok su Android

Immagine 1 Lista dei permessi richiesti da TikTok su Android

Nell'immagine 2 è possibile vedere i permessi richiesti da TikTok su dispositivo iOS.

 Lista dei permessi richiesti da TikTok su iOS

Immagine 2 Lista dei permessi richiesti da TikTok su iOS

I nostri ricercatori sono poi passati ad analizzare le informazioni che vengono effettivamente inviate sulla rete dall'app per Android che sono risultate in linea con la privacy policy di TikTok ed i permessi da essa richiesti. In particolare le informazioni che vengono trasmesse sono:

  • Dati di geolocalizzazione, tra cui: latitudine, longitudine e fuso orario
  • Informazioni sul dispositivo, tra cui: ID Android, codice IMEI (International Mobile Equipment Identity), Accesso alla rubrica telefonica, Operatore telefonico, Area geografica, Modello del dispositivo, Sistema Operativo, Lingua, Tipo di connessione, e Codice di rete MNC (Mobile Network Code)
  • Informazioni relative all'app, tra cui: Nome dell'app

Queste informazioni vengono inviate ai server di TikTok e, da come si legge nella privacy policy, si presume che vengono conservate lì.

CONTROLLI SULLA PRIVACY DEI CONTENUTI

I controlli per l'impostazione della privacy dei propri contenuti sono simili a quelli degli altri social media come Facebook. Gli utenti hanno la possibilità di limitare la visibilità dei propri video scegliendo tra "Tutti", "Amici" e "Solo io". Va precisato che questi controlli si riferiscono soltanto alla visibilità dei contenuti consentendo di controllare cosa mostrare agli altri utenti della piattaforma. Non hanno alcuna influenza sulle informazioni che vengono inviate e memorizzate sui server di TikTok, proprio come avviene per i servizi cloud dei dispositivi mobili: l'unico livello di privacy su cui l'utente ha il controllo, è quello relativo ai contenuti da condividere.

Nell'immagine 3 è possibile vedere le impostazioni che permettono di controllare la privacy dei contenuti (una volta che sono stati caricati).

 Lista delle impostazioni privacy di TikTok

Immagine 3 lista delle impostazioni privacy di TikTok

PREOCCUPAZIONI PER LA SICUREZZA DEI DATI E PER LA LORO CONSERVAZIONE

Una delle maggiori preoccupazioni su TikTok riguarda il come i dati vengono conservati e soprattutto il dove. Sul sito è scritto, in merito ai dati Tik Tok: "Conserviamo negli Stati Uniti i dati relativi agli utenti americani, con backup di sicurezza a Singapore. I nostri data center sono localizzati tutti al di fuori della Cina e nessuno di essi è soggetto alla legge cinese”.

Per gli utenti europei, la situazione sembra ancora più nebulosa. Si legge: "I dati personali che raccogliamo presso di te saranno trasferiti e archiviati in una destinazione al di fuori dello Spazio Economico Europeo (“SEE”)." Non vengono fornite ulteriori informazioni riguardo a dove vengano conservati i dati degli utenti europei.

In relazione a questo, TikTok ha appena pubblicato per la prima volta il "Rapporto sulla Trasparenza" che affronta questioni come "richieste legali di informazioni sugli utenti", "richieste da enti governativi per la rimozione di contenuti", "avvisi relativi alla rimozione di contenuti in violazione dei diritti di copyright". Va evidenziato come Stati Uniti, India e Giappone sono stati rispettivamente i tre paesi da cui sono arrivate le richieste relative agli utenti. Gli Stati Uniti sono al primo posto con l'86% delle richieste relative a 255 account. La Cina non è nella lista, il che significa che nessuna richiesta è arrivata in relazione ad account di utenti cinesi.

CONCLUSIONI

L'app TikTok richiede diversi permessi per poter funzionare sui dispostivi degli utenti, piuttosto ovvie per un'app di condivisione di audio/video. Tuttavia, al di fuori degli utenti americani, non vengono fornite informazioni specifiche riguardo al modo in cui i dati vengono conservati e soprattutto dove. Fornisce soltanto delle impostazioni per regolare la privacy in termini di visibilità dei propri contenuti sulla piattaforma, ma richiede l'intervento dell'utente visto che di default i contenuti sono pubblicamente accessibili.

Per concludere, il nostro giudizio è che TikTok andrebbe trattata con le stesse cautele utilizzate per ogni altra app social: può essere considerata relativamente sicura a patto che siate ben consapevoli delle informazioni che raccoglie e conserva e del modo in cui le utilizza. Ecco perché, prima di preoccuparvi di come fare video su TikTok o di come aumentare i follower su TikTok, è importante leggere attentamente la privacy policy, così come leggere ogni altra informazione disponibile sull'app, sul servizio offerto e sulle modalità di conservazione dei dati. E infine siate responsabili e non dimenticatevi mai che quello che registrate, altri lo vedranno.