Un usuario de de Reddit le hace ingeniería inversa a Tiktok, para conocer realmente qué hace la aplicación por dentro, esto como parte de la polémica que ha creado la red social, por supuestos riesgos de privacidad.
Justo la semana pasada informábamos como Tiktok accedía al portapapeles de los usuarios de forma regular y sin autorización.
Así mismo, la aplicación fue bloqueada para su uso en la India, junto con 37 otras aplicaciones chinas.
Todo esto ha llevado a los investigadores a cuestionarse ¿Es realmente Tiktok un riesgo de seguridad? Aquí les comentamos el resultado.
Ingeniería inversa a Tiktok
Antes de comenzar a explicar los resultados del análisis, queremos que comentar qué es la ingeniería inversa.
La ingeniería inversa, es un método que busca desmantelar una aplicación ya compilada (en el caso de Android un APK), y de esta manera poder acceder a su código fuente y analizar su funcionamiento.
Esta ingeniería inversa a Tiktok es lo que ha hecho este usuario de Reddit, encontrando lo siguiente.
- Tiktok conoce todo sobre nuestro móvil: Según los análisis realizados a la aplicación, Tiktok registra, nuestro tipo de CPU, identificador de hardware, dimensiones de la pantalla, uso de memoria espacio en disco y mucho más.
- Tiktok registra las aplicaciones que tenemos instaladas e incluso aquellas que hemos desinstalado en un tipo de cache.
- Todo lo relacionado con nuestra red: dirección IP, dirección Mac del router, MAC del teléfono, y nombre del punto de acceso WiFi.
- Si nuestro teléfono está rooteado o no.
- Acceso al GPS cada 30 segundos.
Tal como lo anota “bangorlol“, la situación se pone peor, ya que la aplicación permite que muchos de los datos que se recojan se puedan configurar remotamente, en otras palabras, que se pueda habilitar desde un servidor y sin que nos demos cuenta.
Así mismo, a nivel de código fuente existe gran cantidad de ofuscación con el fin de evitar que se haga ingeniería reversa y tratar de averiguar todo lo que hace la aplicación.
Por otra parte, existen indicios en la app para Android, de que eventualmente se podría descargar un archivo .zip, descomprimirlo y ejecutarlo. En otras palabras si tenemos TikTok instalado tenemos un Malware instalado.
Existen también otros riesgos de seguridad en su Rest Api, donde la mayoría del tiempo no se utiliza HTTPS, algo básico para nuestros tiempos.
Adicional a la investigación realizada por el usuario de Reddit, Penetrum, una empresa de ciberseguridad publicó una serie de recursos sobre los problemas para la privacidad de TikTok.
Dentro de la investigación de Penetrum se detalla que alrededor del 37% de las direcciones IP utilizadas por TikTok, pertenecen al ISP Chino Alibaba, el cual ha sido cuestionado por temas de privacidad, y según lo detallan en sus políticas es posible que puedan suministrar información a terceros.
Así mismo, existen una serie de debilidades en el diseño de la aplicación que podría derivar en ejecución de comandos en el sistema operativo, así como el uso de algoritmos de criptografía obsoletos e inseguros.
Pueden acceder a todo ello en este enlace.
La información publicada por Penetrum también confirma, lo que el usuario de Reddit ha dicho.
Sabemos que muchos usuarios dirán, Facebook, Instagram, Whatsapp y todas las más utilizadas en el mundo también recopilan datos, y esto es correcto.
Sin embargo, tal como lo indica “bangorlol“, también se han analizado estas apps y no recolectan nada cercano a lo que sí hace TikTok. Es como comparar un vaso de agua con un océano.
Desde Sitio Android, si bien, no somos los autores de esta ingeniería reversa, nos hemos ido al PlayStore a ver un poco los permisos que solicita el app, y sinceramente son irrazonables.
Para qué Tiktok podría querer recuperar aplicaciones que se están ejecutando, encender nuestra linterna, activar y desactivar la sincronización, ver conexiones de Wifi y mucho más.
¿No se supone que el app está diseñada para subir y ver videos?
Sin lugar a dudas toda esta investigación es reveladora sobre lo que realmente están haciendo las aplicaciones con nuestros datos.
Los recursos son bastantes, así que les instamos a que si desean profundizar más en e tema consulten los enlaces de referencia que les hemos ido dejando a lo largo del post.
Si te gustó este artículo agradecemos mucho que nos apoyaras compartiéndolo con tus amigos usando los botones de abajo y siguiéndonos en nuestras redes sociales.
