TikTok’un Güvenlik Zafiyetleri Tersine Mühendislik ile Deşifre Edildi

Reddit kullanıcılarından ‘Bangorlol’ yaklaşık iki ay önce popüler sosyal medya uygulaması TikTok’u tersine mühendislik ile deşifre ettiğini öne sürdü. Bangorlol, tersine mühendislik sonucunda TikTok’un izinsiz kullanıcı takibi yaptığını ortaya çıkardığını belirterek, uygulama kullanımının bırakılması tavsiyesinde bulundu. TikTok, 2020’nin ilk çeyreğinde hem Android uygulama mağazası Google Play hem de iOS uygulaması mağazası AppStore’da en çok indirilen mobil uygulama durumundaydı.

Son yılların en popüler sosyal medya uygulamalarından birini temsil eden TikTok, kullanıcılara istedikleri her konu başlığı altında 15 saniyelik video oluşturabilme imkanı veriyor. Uygulama, ayrıca kısa videoların içeriğini zenginleştirmek için ses ve kısa parça alıntılarından oluşan çok geniş bir arşiv sunuyor. Ek olarak görüntülere özel efektler eklenip filtreler de uygulanabiliyor.

Akıllı telefon ile çekilen videolar direkt TikTok üzerinden paylaşılabiliyor. Çin piyasasında ‘Duyin’ adıyla bilinen TikTok’un bu ülkede 300 milyondan fazla aylık aktif kullanıcısı bulunuyor. Bu sayı, ülke nüfusunun 5’te 1’inden fazlasının TikTok kullanıcısı olduğuna işaret ediyor.

Sosyal medya gibi görünen bir veri toplama platformu mu?

Reddit kullanıcısı, nasıl çalıştığını gayet iyi anladığını öne sürdüğü TikTok’un aslında sosyal medya gibi görünen bir veri toplama platformu olduğunu iddia ediyor. Uygulamanın kullanıcıların akıllı telefon donanımını takip ettiğini; yani CPU (merkezi işlemci birimi) tipini, donanım kimliğini, bellek kullanımını ve depolama alanı gibi bilgilerini depoladığını öne sürüyor.

Bangorlol, TikTok’un bunların yanı sıra kullanıcıların telefonlarına yüklediği diğer uygulamalar, vb. bilgileri de takip ettiğini ifade ediyor. Bunlar arasında IP adresleri, MAC adresleri, Wi-Fi erişim noktaları gibi bilgiler yer alıyor. Ek olarak kullanıcı telefonları üretici tarafından konulan yazılım kısıtlamaları kaldırılmış veya format atılmış ise TikTok, yine tüm bilgileri takip edebiliyor. GPS açık olan telefonlarda ise TikTok her 30 saniyede bir Çin’deki merkez büroya kullanıcıların konum bilgilerini gönderiyor. Eğer kullanıcılar ayarlarda paylaştıkları görsellerde konumu eklemeyi seçmişlerse, TikTok konum bildirimini otomatik olarak yapıyor.

TikTok, “medya kod çevrimi” altında cihazlar üzerinde yerel bir proxy sunucusu belirliyor. Bangorlol, bu içeriğin sadece veri çalmak için bir bahane olduğunu savunuyor. Kullanıcıların e-posta adreslerini sızdırmasının yanı sıra TikTok, iki adımlı doğrulama (2FA) için kullanılan ikinci e-posta adreslerini bile ele geçiriyor. Bunu yaparken kullanıcıların gerçek adlarını ve doğum tarihlerini de sızdırıyor.

TikTok, yeni kullanıcıları kalıcı kılmak ve yenilerinin de ilgisini çekmek için viral-heyecan yöntemini tercih ediyor. Platforma ilk kez üye olan bir kullanıcı ilk gününde öne çıkarılıyor ve dikkat çekmesi sağlanıyor.

Gizlilik konusunda ABD ve Avrupa Birliği’nde (AB) denetimlere tabii tutulan TikTok, ne kadar veri topladığı ve bu verileri nasıl koruduğu konusunda açıklama yapmaktan kaçınıyor. Analitik verilerine yönelik talepler şifre ile korunan TikTok, her güncellemede erişim anahtarlarını da yeniliyor. Bir kullanıcı analitik araçlarına erişimi bloke ettiği taktirde uygulamaya erişimi bloke ediliyor.

Hindistan’da yasaklandı…

TikTok’un kendi gizliliğine bu kadar önem verirken kullanıcı gizliliğini bir kenara koyması, küresel alanda tepki uyandırmaya başladı. Hindistan hükümeti, bu hafta yaptığı açıklamada TikTok ve önde gelen diğer Çin merkezli uygulamalar WeChat ve mobil tarayıcı UC Browser’ın yasaklandığını duyurdu.

Hintli yetkililer, söz konusu uygulamaların “bağımsızlık ve bütünlüğe sunduğu tehditten dolayı” yasaklandığını belirtti. Platform, Hindistan’ın aldığı karar ile 2017’den bu yana 660 milyondan fazla kullanıcısının bulunduğu dev bir piyasayı kaybetmiş oldu.

HTTPS protokolü

Bangorlol, Reddit’te yaptığı açıklamada TikTok’u tersine mühendislik ile deşifre etmek için uzun bir müddet uğraştığını ve ortaya çıkardığı bilgilerden emin olduğunun altını çiziyor. Kullanıcının dikkat çektiği bir diğer nokta, TikTok’un HTTPS protokolü bile kullanmıyor olması. Açılımı Hypertext Transfer Protokol Secure olan HTTPS, Wi-Fi gibi kamu internet ağları üzerinde veri güvenliğini temin etmek için kullanılan protokolü temsil ediyor. İnternet kullanıcısı ile web veya mobil hizmet arasında veri transferinin şifrelenmesini sağlayan HTTPS, siber saldırganların hassas bilgilere erişmesini engellemek için kullanılan en standart güvenlik önlemlerinden birini temsil ediyor.

Çinli geliştirici ekibin yaklaşık 200 gün harcayarak hazırladığı belirtilen orijinal TikTok, nasıl çalıştığını çok iyi gizlemeyi başaran bir uygulama. Bangorlol’un deşifre ettiği bilgilerin güvenlik şirketleri veya bağımsız güvenlik araştırmacıları tarafından onaylanıp onaylanmayacağı konusu da şimdilik belirsiz.

TikTok’un üreticisi ByteDance, şu ana kadar mobil mağazalarda 1 milyardan fazla indirilen uygulama sayesinde 3 milyar dolardan fazla kar elde etti. Bangorlol Reddit’teki yorumunda, modern toplumdaki bireylerin şahsi bilgilerini yabancı ellere teslim edecek şekilde yetiştiğini ve sızdırılan bilgilerin ne kadar ciddi sorunlara yol açabileceğini anlamadıklarını belirtti.

TikTok’un hakkında öne sürülen ciddi iddialar, kullanıcıların özel bilgilerini korumak ve yayılmalarını önlemek adına bilinçlendirilmeleri gerektiğine bir diğer örneği temsil ediyor.