Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

TikTok e la privacy: l’app accede a Wi-Fi, GPS, contatti e calendario degli utenti

Michele Pinassi : 24 Febbraio 2023 09:15

I ricercatori dell’azienda di cybersecurity australiana Internet 2.0 hanno effettuato una dettagliata analisi sull’app di TikTok per iOS e per Android, rivelando quanto questa applicazione possa essere invasiva per gli utenti.

Sono state esaminate le versioni 25.1.3 per Android e la 25.1.1 per iOS, attraverso una analisi statica e dinamica del codice.

I risultati sembrerebbero essere piuttosto preoccupanti:

  • Mappatura del dispositivo. L’applicazione prende nota di quali sono le altre applicazioni in esecuzione sullo smartphone dell’utente, oltre che di quelle installate;
  • Geolocalizzazione. L’applicazione TikTok controlla la posizione dello smartphone almeno una volta l’ora;
  • Calendario. L’applicazione ha accesso persistente al calendario;
  • Contatti. TikTok ha accesso a tutti i contatti in rubrica. Se l’utente nega il permesso, l’applicazione continua incessantemente a chiederne l’acccesso;
  • Informazioni del dispositivo. L’applicazione raccoglie le seguenti informazioni dal dispositivo:
    • Wi-Fi SSID
    • Device build serial number
    • SIM serial number
    • Integrated Circuit Card Identification Number
    • Device IMEI
    • Device line number
    • Device MAC address
    • Device voicemail number
    • GPS status information (updates on the GPS location)
    • Active subscription information
    • All accounts on the device
    • Accesso completo alla clipboard del dispositivo

Iscriviti GRATIS alla RHC Conference 2025 (Venerdì 9 maggio 2025)

Il giorno Venerdì 9 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la RHC Conference 2025. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.

La giornata inizierà alle 9:30 (con accoglienza dalle 9:00) e sarà interamente dedicata alla RHC Conference, un evento di spicco nel campo della sicurezza informatica. Il programma prevede un panel con ospiti istituzionali che si terrà all’inizio della conferenza. Successivamente, numerosi interventi di esperti nazionali nel campo della sicurezza informatica si susseguiranno sul palco fino alle ore 19:00 circa, quando termineranno le sessioni. Prima del termine della conferenza, ci sarà la premiazione dei vincitori della Capture The Flag prevista per le ore 18:00.
Potete iscrivervi gratuitamente all'evento utilizzando questo link.

Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Inoltre, aggiungono i ricercatori, “Da notare anche che l’app di TikTok per IOS 25.1.1 effettua una connessione al server della Cina continentale gestito da un’azienda cinese top 100 nel campo della sicurezza informatica e dei dati, Guizhou Baishan Cloud Technology Co.“.

Come sapete, quando installiamo una nuova app sullo smartphone il sistema ci richiede se vogliamo fornire, o meno, l’accesso a determinati dati. Ad esempio, una applicazione di videoconferenza chiederà di poter accedere al microfono e alla telecamera. Anche secondo l’elenco delle autorizzazioni pubblicato su Google Play, l’app di TikTok richiede di poter accedere a praticamente tutti i dati personali sul nostro smartphonePosizione, Informazioni personali, Informazioni finanziarie, Messaggi, Foto e video, Audio, Contatti, Attività dell’App, Navigazione sul Web, Informazioni e prestazioni dell’App, ID del dispositivo e altri ID.

Anche su iOS l’app richiede l’accesso a informazioni personali presenti sullo smartphone, anche se gli stessi riceratori hanno “notato che la versione Android ne ha molte di più rispetto alla versione IOS. IOS ha un sistema di giustificazione in cui per ottenere un’autorizzazione lo sviluppatore deve giustificare il motivo per cui è necessaria prima che venga concessa. Riteniamo che il sistema di giustificazione implementato da IOS limiti sistematicamente la cultura dell’ “arraffa quello che puoi”. Il fatto che TikTok abbia ottenuto un numero molto maggiore di autorizzazioni per Android rispetto a IOS è una buona dimostrazione della loro cultura in materia di privacy.”

Tuttavia, l’analisi evidenzia che l’app di TikTok per iOS effettua tutta una serie di connessioni verso la Cina, mentre sulla versione per Android i ricercatori non ne hanno trovato alcuna evidenza.

Quindi, quali sono i rischi per la nostra privacy?

Ormai gran parte della nostra quotidianità passa dallo smartphone. Che siano le chat o le mail di lavoro o di famiglia, le foto e i video delle vacanze, gli appuntamenti sul calendario e i clienti e fornitori in rubrica, i nostri cellulari sono delle verie e proprie “miniere d’oro” di informazioni preziose (e riservate).

Esattamente come per un PC, quando installiamo un programma (o “app”) sul nostro smartphone e forniamo a questa applicazione il permesso di accedere a questi dati, ne perdiamo il controllo. Non sappiamo, infatti, cosa e perché questa applicazione chiede di leggere il nostro calendario o sbirciare nella rubrica, così come perchè pretende di leggere i nostri SMS. Ma, soprattutto, non possiamo controllare cosa faccia di questi dati. Dati che non sono affatto anonimi e dicono moltissimo di noi, più di quanto noi stessi possiamo pensare.

Che sia TikTok o una qualsiasi altra applicazione, è importantissimo controllare a quali dati questa avrà accesso indiscriminato. Le migliori app, ad esempio, sono quelle che richiedono l’accesso a pochissimi dati, ovvero solo a quelli strettamente essenziali al suo funzionamento.

Per comodità, molto spesso siamo portati ad accettare tutto“che tanto cosa vuoi che succeda mai!”, ignari e inconsapevoli che stiamo permettendo a sconosciuti di prendere in mano tutte le informazioni che sono contenute nel nostro smartphone, posizione compresa.

Davvero riuscite a fidarvi così tanto? A credere che la vostra vita e i vostri dati non abbiano alcun valore? O, peggio, che questo valore non interessi a nessuno?

Come amo ripetere anche durante gli incontri e i corsi di formazione, la nostra reputazione passa anche dalla nostra attività in Rete. E difenderla, così come difendere i nostri dati, è fondamentale. Ed è una responsabilità collettiva, perché in quella rubrica a cui TikTok ha accesso potrebbe esserci anche il numero e le informazioni personali di tuo figlio, di tua moglie/marito, dei tuoi amici.

Questi ricercatori hanno messo a nudo tutta una serie di criticità dell’app di TikTok, una delle milioni disponibili sui marketplace di Android e iOS. Magari adesso avrete una consapevolezza diversa, migliore, quando lanciate questa applicazione. TikTok però è, come dicevo, solo una tra tantissime. E tante di queste hanno le medesime criticità, anche se meno famose e meno meritevoli di ricevere tutta questa attenzione.

Tuttavia, che sia l’app. di TikTok o un’altra applicazione, dobbiamo prestare attenzione alle nostre informazioni personali, evitando ad esempio di installare applicazioni non fidate o concedere autorizzazioni eccedenti il reale scopo dell’applicazione.

Qualche consiglio per difendersi

Chi mi chiede un consiglio su come difendersi da tutta questa “invadenza”, generalmente ottiene queste risposte:

  • installate le app più invasive o meno “sicure” su un secondo smartphone, magari più vecchio, che avete ripulito dai dati personali che usate quotidianamente;
  • evitate di installare giochi o altre applicazioni “free” sullo smartphone che usate per lavoro o che contiene informazioni riservate;
  • negate i permessi che ritenete non necessari. Ad esempio, un gioco non dovrebbe poter accedere alla rubrica o al calendario! Se insiste a chiedervi continuamente l’accesso a questi dati, valutate la disinistallazione;
  • privilegiate le app open source, usando market alternativi come F-Droid, che sono controllate dalla comunità e sono generalmente molto più sicure di quelle proprietarie;
  • le app “pirata” sono spesso veicolo di malware e trojan: evitate di installare applicazioni da fonti sconosciute;
  • spesso e volentieri, quando un servizio è gratuito, generalmente sfrutta i dati dei suoi utenti come “moneta” di scambio;
  • per i genitori, è di fondamentale importanza controllare cosa installano i proprio figli minorenni sul loro smartphone: i loro dati sono potenzialmente a rischio e parliamo, spesso, di informazioni relative a minori, come foto, contatti…

Concludendo, partendo dall’analisi dell’app. di TikTok –una delle più diffuse, con i suoi oltre 800 milioni di utenti in tutto il mondo-, l’obiettivo di questo articolo è migliorare la consapevolezza dei rischi, per la nostra (e altrui) privacy, di un uso non consapevole dello smartphone, una arma potentissima e spesso sottovalutata che teniamo tutto il giorno insieme a noi, tanto da essere quasi una “estensione” del nostro corpo.

Michele Pinassi
Nato e cresciuto a Siena, è Responsabile della Cybersecurity dell’Università di Siena. Lavora nel campo ICT da oltre 20 anni, usando esclusivamente software libero. Da sempre attento alle tematiche sulla privacy e sui diritti civili digitali, attraverso il suo blog nato nel lontano 2000, è ancora attivamente impegnato nel sensibilizzare i cittadini su queste tematiche.

Lista degli articoli

Articoli in evidenza

Italia sarai pronta al Blackout Digitale? Dopo La Spagna l’attacco informatico alla NS Power

Negli ultimi giorni, NS Power, una delle principali aziende elettriche canadesi, ha confermato di essere stata vittima di un attacco informatico e ha pubblicato degli update all’interno della H...

Sicurezza è Lavoro: dal cantiere al cloud, dobbiamo proteggere chi costruisce l’Italia!

1° Maggio, un giorno per onorare chi lavora, chi lotta per farlo in modo dignitoso e chi, troppo spesso, perde la vita mentre svolge la propria mansione. Nel 2025, l’Italia continua a pian...

Buon World Password Day! Tra MIT, Hacker, Infostealer e MFA. Perchè sono così vulnerabili

Domani celebreremo uno degli elementi più iconici – e al tempo stesso vulnerabili – della nostra vita digitale: la password. Da semplice chiave d’accesso inventata negli anni...

Benvenuti su Mist Market: dove con un click compri droga, identità e banconote false

Ci sono luoghi nel web dove la normalità cede il passo all’illecito, dove l’apparenza di un marketplace moderno e funzionale si trasforma in una vetrina globale per ogni tipo di rea...

La Cina Accusa la NSA di aver usato Backdoor Native su Windows per hackerare i Giochi Asiatici

Le backdoor come sappiamo sono ovunque e qualora presenti possono essere utilizzate sia da chi le ha richieste ma anche a vantaggio di chi le ha scoperte e questo potrebbe essere un caso emblematico s...

Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS
Contatti

Copyright @ REDHOTCYBER Srl
PIVA 17898011006