Puisis, kurš ir apgriezti izstrādāts TikTok, atklāj biedējošās lietas, ko viņš iemācījies, un iesaka cilvēkiem turēties prom no tā

Facebook nokļuva sensitīvu datu skandālā kad tas veica neskaidru biznesu ar Cambridge Analytica, Instagram apstiprināja drošības problēmu, atklājot lietotāju kontus un tālruņu numurus , taču šīs lietotnes, salīdzinot ar TikTok, būtībā ir tiešsaistes drošības paradīzes, norāda viens vecākais programmatūras inženieris ar aptuveni 15 gadu profesionālu pieredzi.

Pirms 2 mēnešiem Reddit lietotājs bangorlol sniedza komentāru diskusijā par TikTok. Bangorlols apgalvoja, ka to ir veiksmīgi pārveidojis un dalījies ar to, ko uzzināja par Ķīnas video koplietošanas sociālo tīklu pakalpojumu. Būtībā viņš stingri ieteica cilvēkiem nekad vairs neizmantot lietotni, brīdinot par tās uzmācīgo lietotāju izsekošanu un citiem jautājumiem. Ņemot vērā, ka TikTok bija 4. populārākā bezmaksas iPhone lietotņu lejupielāde 2019. gadā , tas ir diezgan satraucoši.





Attēlu kredīti: Marko Verčs





Bangorlols nav nekāds scenārija bērns. 'Pēdējie vairāki manas karjeras gadi ir balstīti uz mobilo lietojumprogrammu maiņu, analīzi, kā tās darbojas, un ap tām izveidojot papildu trešo pušu funkcionalitāti,' viņš teica Garlaicīgi Panda . 'Aptuvens piemērs būtu tas, ka es pamanīju, ka Twitter vietnē vietnē netiek rādīts secīgs laika grafiks (nav ne jausmas, vai viņi to dara vai nē), bet gan lietotnē. Es pārietu uz Android vai iOS versiju, atrodu pieprasījumus, kas iegūst pareizos datus, un izveidoju trešās puses rīku (lietotni, vietni, pārlūka paplašinājumu), lai lietotājiem nodrošinātu šo funkcionalitāti. ”

'Pēdējā laikā tas galvenokārt ir saistīts ar mana uzņēmuma partneru API maiņu, tāpēc mums nav jāgaida, kamēr tie mums izveidos kaut ko pielāgotu. Es medīju bug bounties, kad man ir laiks, vai palīdzu draugiem izkļūt ar viņu (vai viņu CTF izaicinājumiem). Man vispār patīk drošība, un, mainot darba devēju, parasti atrodu vismaz dažus galvenos trūkumus. Es esmu sava veida puisis tādā nozīmē, ka man ir ērti lielākajā daļā programmatūras inženierijas jomu un pārsvarā esmu diezgan labi ar daudzām drošības tēmām. '

Kā ziņots, Ķīnas attīstības komandai bija nepieciešamas 200 dienas, lai izveidotu TikTok sākotnējo versiju, taču, kad Bangorlols ieguva kursoru uz tā koda, tam nebija izredžu. Lai gan tas tomēr mēģināja pacīnīties. “TikTok pielika daudz pūļu, lai neļautu cilvēkiem, piemēram, man, saprast, kā darbojas viņu lietotne. Visos lietojumprogrammas līmeņos ir iesaistīts daudz neskaidrību, sākot no jūsu standarta Android mainīgā, pārdēvējot rupjumu, līdz pat tiem (byttance), kas dedzina un pielāgo ollvm viņu vietējām lietām. Viņi slēpj funkcijas, neļauj atkļūdotājiem piestiprināties un izmanto diezgan daudz viltīgu triku, lai lietas padarītu sarežģītas. Godīgi sakot, tas ir sarežģītāk un kaitinošāk nekā lielākā daļa spēļu, kuras esmu mērķējis, ”skaidroja Bangorlols.

Šāda slepenība ir saprotama. TikTok peļņa ir pieaugusi proporcionāli tās popularitātes pieaugumam, un tās īpašnieks ByteDance pagājušajā gadā guva tīro peļņu USD 3 miljardu apmērā, saskaņā ar Bloomberg ziņojumu .

Bangorlols domā, ka mēs kā sabiedrība esam normalizējuši savas personiskās informācijas nodošanu un vairs neceram uz privāto dzīvi un drošību, tāpēc TikTok datu nodošana kopā ar mūsu naudu nav nekas pārsteidzošs. “Vispārējā vienprātība starp“ normāliem ”cilvēkiem ir tāda, ka viņi nevar / netiks mērķēti, tāpēc ir labi. Vai arī viņiem nav ko slēpt, tāpēc 'kāpēc man vispār vajadzētu rūpēties?' Es domāju, ka apātija rodas no cilvēkiem, kuri vienkārši nesaprot mūsu datu nodošanas ārvalstu valdībai sekas (visos līmeņos), kas nediskriminē. pret kuru viņi mērķē, un viņam arī nav vislabāko sasniegumu cilvēktiesību jomā, ”viņš teica.

Paturiet prātā, ka Bangorlols pirms kāda laika izlaida savu sākotnējo komentāru un vairākus mēnešus nav pieskāries lietotnei, un, kad viņš publicēja savus secinājumus, viņi arī atpalika dažus mēnešus. “Lietotne varēja mainīt pirkstu nospiedumu paņēmienus vai pievienot / noņemt dažas nepatīkamās darbības, ko viņi dara. Es ļoti iesaku drošības pētniekus, kuri ir daudz gudrāki par mani un kuriem ir vairāk brīva laika, lai ielūkotos lietotnē un pārbaudītu katru mazāko iespējamo detaļu. Vietējās bibliotēkās vismaz Android versijai ir daudz lietu, kuras es nespēju izdomāt, un man nebija laika to sīkāk izpētīt, 'viņš piebilda.

'TikTok, iespējams, neatbilst precīziem kritērijiem, lai to dēvētu par' ļaunprātīgu programmatūru ', taču tas noteikti ir zemisks un (manuprāt, pazemīgā izpratnē) tieši ļauns,' sacīja Bangorlols. 'Ir iemesls, kāpēc valdības to aizliedz. Nelietojiet lietotni. Neļaujiet saviem bērniem to izmantot. Sakiet draugiem, lai viņi to pārtrauc. Tas jums piedāvā tikai ātru izklaides avotu, kuru varat iegūt citur, nenododot datus Ķīnas valdībai. Jūs tieši pakļaujat sevi un savu tīklu (darba un mājas) riskam. ”

Lūk, ko cilvēki teica pēc TikTok problēmu izskatīšanas

anime filma, kur vecāki vēršas pie cūkām