Cara que fez engenharia reversa no TikTok revela as coisas assustadoras que aprendeu, aconselha as pessoas a ficarem longe dele

Views: 633
2 1
Read Time:4 Minute, 7 Second

O Facebook se envolveu em um escândalo de dados sensíveis quando fez negócios obscuros com a Cambridge Analytica, o Instagram confirmou um problema de segurança expondo contas de usuários e números de telefone,mas esses aplicativos são basicamente paraísos de segurança on-line em comparação com o TikTok, de acordo com um engenheiro sênior de software com cerca de 15 anos de experiência profissional.

Há dois meses, o usuário do Reddit bangorlol fez um comentário em uma discussão sobre o TikTok. Bangorlol alegou ter sido projetado com sucesso e compartilhou o que aprendeu sobre o serviço chinês de redes sociais de compartilhamento de vídeo. Basicamente, ele recomendou fortemente que as pessoas nunca mais usem o aplicativo, alertando sobre seu rastreamento intrusivo de usuários e outros problemas. Considerando que o TikTok foi o 4º download gratuito mais popular do aplicativo para iPhone em 2019,isso é bastante alarmante.

Bangorlol não é um garoto de roteiro. “Os últimos anos da minha carreira foram baseados em reverter aplicativos móveis, analisar como eles funcionam e construir funcionalidades adicionais de terceiros ao seu redor”, disse ele ao Bored Panda. “Um exemplo difícil seria eu perceber que o Twitter não mostra uma linha do tempo sequencial (sem ideia se eles fazem ou não) no site, mas faz no aplicativo. Eu entraria na versão para Android ou iOS, encontraria as solicitações que obtêm os dados corretos e construiria uma ferramenta de terceiros (aplicativo, site, extensão do navegador) para dar aos usuários essa funcionalidade.”

“Ultimamente, envolve principalmente reverter as APIs parceiras da minha empresa para que não tenhamos que esperar que elas criem algo personalizado para nós. Eu caço recompensas de insetos quando tenho tempo, ou ajudo meus amigos com os deles (ou seus desafios ctf). Eu gosto de segurança em geral e normalmente encontro pelo menos algumas falhas importantes sempre que mudo de empregador. Eu sou uma espécie de cara ‘jack of all trades’ no sentido de que eu estou confortável na maioria das áreas de engenharia de software e principalmente muito bem com muitos tópicos de segurança.”

Supostamente, levou 200 dias para a equipe de desenvolvimento chinesa criar a versão original do TikTok, mas quando Bangorlol conseguiu seu cursor em seu código, ele não teve nenhuma chance. Embora, ele tentou colocar-se uma luta. “O TikTok se esforçou muito para impedir que pessoas como eu descubram como seu aplicativo funciona. Há uma tonelada de ofuscação envolvida em todos os níveis do aplicativo, desde sua variável Padrão Android renomeando a grosseria para eles (bytedance) forking e personalização ollvm para suas coisas nativas. Eles escondem funções, impedem que os depurtores se anexem, e empregam alguns truques sorrateiros para dificultar as coisas. Honestamente, é mais complicado e irritante do que a maioria dos jogos que já veibilmente”, explicou Bangorlol.

Tal segredo é compreensível. Os ganhos do TikTok aumentaram proporcionalmente com seu aumento de popularidade e seu proprietário ByteDance teve um lucro líquido de US$ 3 bilhões no ano passado, de acordo com um relatório da Bloomberg.

Bangorlol acha que nós, como sociedade, normalizamos doar nossas informações pessoais e não temos mais expectativas de privacidade e segurança, então dar ao TikTok nossos dados junto com nosso dinheiro não é nada surpreendente. “O consenso geral entre a maioria das pessoas ‘normais’ é que elas não podem/não serão alvos, então tudo bem. Ou que eles não têm nada a esconder, então “por que eu deveria me importar?” Acho que a apatia é originado de pessoas que não entendem as implicações de segurança (em todos os níveis) de entregar nossos dados a um governo estrangeiro que não discrimina quem eles são alvo, e também não tem o melhor histórico quando se trata de direitos humanos”, disse ele.

Tenha em mente que Bangorlol lançou seu comentário inicial há um tempo atrás e não tocou no aplicativo há meses, e quando ele postou suas descobertas, eles também estavam alguns meses atrasados. “O aplicativo poderia ter mudado as técnicas de impressão digital ou adicionado/removido algumas das coisas desagradáveis que eles fazem. Eu encorajo fortemente os pesquisadores de segurança que são muito mais inteligentes do que eu e têm mais tempo livre para dar uma olhada no aplicativo e examinar cada pequeno detalhe que puderem. Há muitas coisas acontecendo nas bibliotecas nativas para pelo menos a versão para Android que eu não consegui entender e não tive tempo de investigar mais”, acrescentou.

“O TikTok pode não atender aos critérios exatos para ser chamado de “Malware”, mas é definitivamente nefasto e (na minha humilde opinião) totalmente mal”, disse Bangorlol. “Há uma razão para os governos proibirem. Não use o aplicativo. Diga aos seus amigos para pararem de usá-lo. Ele não oferece nada além de uma fonte rápida de entretenimento que você pode obter em outro lugar sem entregar seus dados para o governo chinês. Você está colocando diretamente a si mesmo e aqueles em sua rede (trabalho e casa) em risco.”

FONTE: BOREDPANDA

Previous post 5 perguntas de segurança que seus gestores farão inevitavelmente
Next post Campanha global de spam malicioso usa o slogan “Black Lives Matter” como armadilha

Deixe um comentário