Buzz
Khám phá vấn đề liên quan đến iOS 14, TikTok không chỉ đơn giản theo dõi vị trí hay thu thập thông tin riêng tư, mà còn sao chép mọi thứ người dùng nhập từ bàn phím điện thoại và truyền về máy chủ, đang trở thành đề tài nóng trong thời gian gần đây. Để tìm hiểu thêm, tôi đã đọc một bình luận trên mạng xã hội Reddit, trong đó một chuyên gia phần mềm có tên gọi 'bangorlol' đã dành thời gian phân tích ngược mã nguồn của TikTok để tìm hiểu về cách hoạt động của nó, đồng thời khám phá những dữ liệu mà ứng dụng này thu thập từ điện thoại người dùng và đã cài đặt TikTok trên thiết bị của mình.Xem thêm:
TikTok thu thập mọi thứ được coi là có giá trị trong chiếc điện thoại thông minh của người dùng
Phân tích sơ sơ lời bình của ‘bangorlol’ thì đây là những gì tôi thu được:
Cá nhân tôi có thể thêm một chút thông tin về vấn đề này. Tôi đã dịch ngược mã nguồn của ứng dụng và tin chắc rằng tôi hiểu rõ cách nó hoạt động, ít nhất là hiểu cách nó chạy vài tháng trước khi mò mẫm trong mã nguồn TikTok. Đơn giản nói, TikTok không chỉ là một dịch vụ xã hội, mà là một công cụ thu thập dữ liệu cá nhân được giấu diếm. Nếu trong ứng dụng có API để lấy dữ liệu người dùng, nó sẽ lấy tất cả dữ liệu trong điện thoại của bạn, và chủ nhân ứng dụng sẽ sử dụng API này đầy đủ để thu thập thông tin như dưới đây:
- Thông tin về phần cứng: CPU, số điện thoại, ID phần cứng, độ phân giải màn hình, dung lượng bộ nhớ, dung lượng RAM đang sử dụng…
- Danh sách ứng dụng khác bạn đã cài. Thậm chí tôi thấy vài ứng dụng đã gỡ nhưng vẫn xuất hiện trong tài liệu phân tích của TikTok.
- Tất cả thông tin liên quan đến internet: IP, IP địa phương, địa chỉ MAC của router, địa chỉ MAC của thiết bị, tên điểm truy cập WiFi mà thiết bị đã kết nối…
- Nó còn biết máy có root hay jailbreak chưa.
- Một số phiên bản TikTok mặc định ping vị trí người dùng qua GPS, khoảng 30 giây một lần. Công cụ này được sử dụng để đánh dấu vị trí khi tạo video trên TikTok.
- TikTok tạo ra một proxy server địa phương trên máy để 'xử lý dữ liệu truyền media', nhưng vì không có tính năng bảo mật nào cho proxy server, nên chủ nhân ứng dụng có thể lạm dụng nó một cách dễ dàng.
Điều đáng sợ nhất là quá trình thu thập và lưu trữ dữ liệu cá nhân từ xa có thể được tùy chỉnh. Trừ khi bạn có khả năng dịch ngược tất cả thư viện gốc và theo dõi từng tính năng được ẩn và xáo trộn trong mã nguồn của ứng dụng. Họ thậm chí còn viết ra nhiều cơ chế bảo vệ để ngăn chặn người dùng dịch ngược mã hoặc debug nó. Nếu bạn phát hiện, hoặc ít nhất là cố phát hiện cách TikTok thu thập dữ liệu cá nhân, ứng dụng sẽ thay đổi cách hoạt động để lừa dối người dùng và tiếp tục thu thập dữ liệu. Tôi thậm chí còn tìm thấy đoạn mã trên ứng dụng TikTok Android cho phép tải về một file dữ liệu .zip, giải nén và chạy file binary bên trong. Điều này thực sự là không hiểu lý do một ứng dụng di động lại làm như vậy.
Trên hết, suốt một khoảng thời gian dài, TikTok vẫn sử dụng kết nối HTTP REST API, lưu trữ đầy đủ địa chỉ email chính, email phụ để phục hồi tài khoản và đặt lại mật khẩu, không kể đến tên thật và nhiều dữ liệu cá nhân khác. Vài tháng trước khi tôi nghiên cứu TikTok, chỉ cần thực hiện cuộc tấn công 'Man in the Middle', hacker có thể đọc được toàn bộ thông tin cá nhân.
Nguy hiểm là vậy, nhưng tại sao TikTok vẫn có hàng trăm triệu người dùng? Lý thuyết là nó vẫn là một mạng xã hội. Nó thu hút người dùng với cảm giác trở nên 'viral' để giữ họ ở lại trên nền tảng. Bài viết đầu tiên trên TikTok sẽ nhận được nhiều lượt thích, không quan trọng nó có đến đâu hoặc như thế nào, miễn là bạn vượt qua hàng đợi kiểm duyệt nội dung, nếu TikTok vẫn sử dụng phương pháp đó. Hầu hết mọi người sẽ ghen tị với thành công của những người dùng khác và cố gắng sử dụng ứng dụng, thậm chí tải lên những video họ nghĩ là thú vị lên nền tảng này.
À, và còn điều này nữa, không ít những người lớn có những hành vi bệnh hoạn có thể nhắn tin trực tiếp đến tài khoản TikTok của các em nhỏ đang sử dụng ứng dụng này. Tôi đã chứng kiến điều này một cách rõ ràng (và báo cáo về hành vi sai lệch), với những người đàn ông 40 - 50 tuổi gửi những tin nhắn đầy gợi dục đến những cô bé 8 - 10 tuổi để hát những bản nhạc nào đó. Những video đó sau đó được đăng công khai trên mạng xã hội này.
Vấn đề là, TikTok không muốn người dùng biết về khối lượng dữ liệu họ thu thập từ điện thoại của bạn, mặc dù theo bằng chứng tôi tìm thấy, khối lượng đó là rất lớn. Họ mã hóa mọi đề xuất phân tích dữ liệu bằng một thuật toán biến đổi sau mỗi bản cập nhật ứng dụng, đơn giản là để bạn không biết họ đang làm gì. Họ thậm chí có thể làm cho ứng dụng không hoạt động bình thường nếu bạn cản trở luồng dữ liệu trao đổi với máy chủ phân tích bằng cách thay đổi DNS.
Để công bằng, tôi cũng đã từng dịch ngược mã nguồn của Instagram, Facebook, Reddit và Twitter. Khối lượng dữ liệu mà những ứng dụng đó thu thập từ người dùng không gì so sánh được với TikTok, và họ chắc chắn không cố gắng giấu diếm dữ liệu gửi về máy chủ như TikTok đang thực hiện. Nó như là so sánh một cốc nước với đại dương.
Chúng ta học được gì từ bình luận trên?
Đầu tiên, nghi ngờ về việc TikTok thu thập dữ liệu người dùng một cách không đúng, lấy những thông tin không liên quan đến việc sử dụng mạng xã hội này, đã không còn là điều mới. Nhưng chúng ta nên nhớ rằng, không chỉ ứng dụng từ Trung Quốc như TikTok mới thực hiện hành động này. Cả những ứng dụng mạng xã hội phát triển từ Mỹ cũng làm điều tương tự hàng ngày, mỗi khi bạn truy cập Facebook hay Twitter để xem tin tức và cập nhật từ bạn bè. Chính phủ Mỹ cũng đã đặt Facebook hay Google vào tầm ngắm khi bảo vệ quyền riêng tư của người dùng dịch vụ internet.
Về phía TikTok, đưa mạng xã hội này vào tầm ngắm không phải chuyện đơn giản, vì ByteDance, chủ sở hữu của ứng dụng, có trụ sở tại Bắc Kinh, Trung Quốc. Câu chuyện về quyền riêng tư chỉ là một phần nhỏ của những tranh cãi xoay quanh TikTok, từ việc sử dụng nền tảng để thực hiện cyberbully, gây nghiện cho trẻ em, đến những rủi ro liên quan đến an ninh quốc gia chưa được đề cập rõ. Bản thân bình luận trên Reddit không phải là trường hợp đầu tiên một chuyên gia bảo mật hay kỹ sư phần mềm lên tiếng về hành động của TikTok.
Nếu bạn quan tâm, có thể đọc thêm báo cáo nghiên cứu bảo mật về TikTok từ Penetrum (tại đây) và Zimperium (tại đây).
Thứ hai, mặc dù tồn tại nhiều rủi ro về an ninh và quyền riêng tư, TikTok vẫn là ứng dụng hot nhất hiện nay trên cả iOS và Android. Tại sao lại như vậy? Câu trả lời khá đơn giản, gần một tỷ người dùng hàng ngày của TikTok chủ yếu không quan tâm đến vấn đề này (bao gồm khoảng 800 triệu người dùng hàng ngày, chỉ sau 3 năm từ khi ứng dụng được phát hành vào tháng 9/2016). Họ bận rộn tạo ra những đoạn clip âm nhạc hài hước để thu hút lượt thích và tương tác trên mạng xã hội này. Như bài phân tích của người dùng Reddit trên, TikTok có thể là mạng xã hội tốt, tương tác tốt, nhưng khối lượng dữ liệu cá nhân mà nó thu thập là thực sự đáng lo ngại.
Những người không muốn sử dụng TikTok hoặc lo ngại về vấn đề quyền riêng tư có thể đơn giản là không cài đặt và sử dụng ứng dụng này. Một số người thậm chí coi những video và nội dung chia sẻ trên TikTok là vô nghĩa, nên họ cũng không dùng. Tuy nhiên, với những đứa trẻ muốn thu hút sự chú ý, không có nền tảng nào phục vụ họ tốt như TikTok, và đối với lứa tuổi này, kiến thức và nhận thức về quyền riêng tư trực tuyến gần như không tồn tại.
Takeaway thứ 3 từ bình luận ở đầu bài viết: nhận thức về quyền riêng tư trên mạng internet của hầu hết người dùng dịch vụ mạng toàn cầu rất thấp. Không chỉ riêng TikTok, mà tất cả các mạng xã hội đều thu thập dữ liệu để phục vụ quảng cáo, đôi khi là mục đích chính trị, như vụ scandal giữa Facebook và Cambridge Analytica. Người dùng ít khi chấp nhận bất tiện để tắt theo dõi địa điểm hay hạn chế thông tin chia sẻ trên mạng xã hội. Dù Ủy ban Thương mại Mỹ đã phạt ByteDance 5,7 triệu USD vì vi phạm quy định bảo vệ quyền riêng tư trẻ em trên mạng, việc thay đổi thuật toán có thể giúp TikTok tiếp tục thu thập dữ liệu một cách không rõ ràng. Lo ngại chủ yếu là việc sử dụng dữ liệu người dùng cho quảng cáo và có thể còn những tham vọng kiểm soát toàn cầu thông qua sức hút 'gây nghiện' từ những đoạn clip viral trên ứng dụng mạng xã hội này.
