TikTok aggira le policy di Google e preleva l’indirizzo MAC
TikTok è il noto social network cinese utilizzato in tutto il mondo per condividere le proprie coreografie a ritmo delle hit del momento. Recentemente TikTok è stata accusata di scorrette modalità nel trattamento dei dati personali, come affermato da una ricerca del Wall Street Journal. Stando a questa ricerca, pare che il software usato da TikTok sia stato in grado di aggirare i controlli Google implementati sui dispositivi Android e prelevare così l’indirizzo MAC dello smartphone per tracciare online gli utenti, sviluppando pubblicità mirate.
Le accuse partono dal fatto che ByteDance, società madre di TikTok, è accusata dalla Casa Bianca per raccogliere i dati degli utenti americani e rivenderli al governo cinese. Secondo le accuse americane, il governo cinese potrebbe costruire un dossier dettagliato su ogni utente in modo da creare dello spionaggio o dei ricatti. TikTok ha però dichiarato di non divulgare i dati, di aggiornare costantemente l’app e che la raccolta dati sia minore degli altri social network americani.
La raccolta degli indirizzi MAC
L’indirizzo MAC è utile per le app che utilizzano la pubblicità in modo da personalizzarla per ogni utente. Questa impostazione infatti è in grado di resistere alle misure di privacy, è difficile da essere annullato o modificato. L’utente può essere quindi tracciato senza il suo consenso o modificarlo. Al momento non è possibile associare un MAC a una persona fisica ma, quanto svolto da TikTok potrebbe far associare il MAC a vari dati riconducibili con varie ricerche ad eventuali persone fisiche.
Il MAC address è l’indirizzo che identifica ogni singola scheda di rete. E’ stabilito nella fabbrica da ogni azienda, non può essere modificato e associa perennemente e univocamente quella scheda di rete, senza che ci siano duplicati nel mondo. Il router manda un pacchetto al preciso dispositivo destinatario identificandolo proprio con la tabella di routing che contiene l’associazione dell’indirizzo con MAC con l’IP privato.
Ad oggi pare che TikTok abbia raccolto l’indirizzo MAC dei dispositivi per 15 mesi fino all’aggiornamento del 18 Novembre. Quando TikTok raccoglieva l’indirizzo MAC lo inviava a ByteDance che, se installata nel dispositivo, era in grado di leggere il file ID pubblicità del dispositivo. Come dichiarato da Google, l’ID pubblicità è un indirizzo associato al singolo dispositivo, utile agli sviluppatori per guadagnare dalle loro app e personalizzare l’esperienza dell’utente. L’ID pubblicità contiene diverse informazioni del dispositivo, tra cui appunto il MAC, ma non deve essere legato all’identificazione dell’utente o associato ad altri identificatori senza il consenso dell’utente.
L’ID pubblicità può essere reimpostato o disattivato dall’utente. Per farlo dipende dalla marca dello smartphone ma nelle impostazioni cercando “pubblicità” si trovano delle voci sul limite del tracciamento e informazioni sulla pubblicità. E’ quindi possibile reimpostare l’ID dispositivo e limitare il tracciamento della pubblicità.
Come leggere il MAC
Stando a quanto dichiarato dal WSJ, TikTok è stata in grado di aggirare una restrizione Android che le ha concesso di leggere da questi dispositivi l’indirizzo MAC per vie traverse. Questa metodologia è stata scoperta dal professor Joel Reardon, professore associato alla University of Calgary e co-fondatore di AppCensus. AppCensus effettua un’analisi dinamica sulle app Android, scoprendo come e quali dati leggono e se li condividono con terze parti. In particolare AppCensus studia quali dati un’app preleva dallo smartphone e quali invia su Internet.
Una volta effettuata la scoperta, il professore ha aspettato l’aggiornamento Android dello scorso giugno ma è rimasto scioccato dal fatto che Google non avesse riparato la vulnerabilità. Mandando il report a Google, non incentrandosi su TikTok ma sulla falla Android, Google ha risposto solo di aver già ricevuto un report su quella vulnerabilità, non lasciando ulteriori dichiarazioni.
Stando a ciò, la colpa non solo ricadrebbe su TikTok ma anche su Google che ancora non è riuscito a mettere in sicurezza i dispositivi Android. Ad aprile 2020 Google ha però dichiarato in un post su reddit di essere al lavoro su questa sicurezza. ByteDance era in grado di leggere l’ID pubblicità anche dopo l’aggiornamento Google e continuare ad associare il MAC all’utente. Non solo, disinstallando TikTok, eliminando l’ID pubblicità e reinstallando TikTok, ByteDance continuava comunque ad associare il MAC all’ID pubblicità nuovo.
Nello studio condotto da AppCensus solo l’1.4% delle app era in grado di leggere l’indirizzo MAC bypassando le policy Google. Di queste solo il 25% trasmetteva l’ID pubblicità.
TikTok: non solo l’indirizzo MAC
Il Wall Street Journal ha effettuato un’analisi delle 9 versioni di TikTok dal 2018 al 2020, scoprendo che l’app prelevava altri dati oltre l’indirizzo MAC, tutti dichiarati nell’informativa accettata dall’utente al momento dell’installazione. Non è stato possibile effettuare un’accurata analisi poichè molti dati sono criptati dall’applicazione prima di essere mandati su Internet. I dati di TikTok sono dunque protetti dai classici protocolli internet di crittografia ma anche da protocolli proprietari. E’ quindi arduo riuscire a intercettare i dati in chiaro che l’applicazione manda a ByteDance, non capendo quando TikTok rispetta la privacy e le leggi. Questa è però una pratica comune per evitare che qualcuno possa rubare dei dati oppure introdursi nei sistemi e copiare il software dell’applicazione.