Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

TikTok e la privacy: l’app accede a Wi-Fi, GPS, contatti e calendario degli utenti

Michele Pinassi : 24 Febbraio 2023 09:15

I ricercatori dell’azienda di cybersecurity australiana Internet 2.0 hanno effettuato una dettagliata analisi sull’app di TikTok per iOS e per Android, rivelando quanto questa applicazione possa essere invasiva per gli utenti.

Sono state esaminate le versioni 25.1.3 per Android e la 25.1.1 per iOS, attraverso una analisi statica e dinamica del codice.

I risultati sembrerebbero essere piuttosto preoccupanti:

  • Mappatura del dispositivo. L’applicazione prende nota di quali sono le altre applicazioni in esecuzione sullo smartphone dell’utente, oltre che di quelle installate;
  • Geolocalizzazione. L’applicazione TikTok controlla la posizione dello smartphone almeno una volta l’ora;
  • Calendario. L’applicazione ha accesso persistente al calendario;
  • Contatti. TikTok ha accesso a tutti i contatti in rubrica. Se l’utente nega il permesso, l’applicazione continua incessantemente a chiederne l’acccesso;
  • Informazioni del dispositivo. L’applicazione raccoglie le seguenti informazioni dal dispositivo:
    • Wi-Fi SSID
    • Device build serial number
    • SIM serial number
    • Integrated Circuit Card Identification Number
    • Device IMEI
    • Device line number
    • Device MAC address
    • Device voicemail number
    • GPS status information (updates on the GPS location)
    • Active subscription information
    • All accounts on the device
    • Accesso completo alla clipboard del dispositivo

Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class", previsto per febbraio.
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765 

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Inoltre, aggiungono i ricercatori, “Da notare anche che l’app di TikTok per IOS 25.1.1 effettua una connessione al server della Cina continentale gestito da un’azienda cinese top 100 nel campo della sicurezza informatica e dei dati, Guizhou Baishan Cloud Technology Co.“.

Come sapete, quando installiamo una nuova app sullo smartphone il sistema ci richiede se vogliamo fornire, o meno, l’accesso a determinati dati. Ad esempio, una applicazione di videoconferenza chiederà di poter accedere al microfono e alla telecamera. Anche secondo l’elenco delle autorizzazioni pubblicato su Google Play, l’app di TikTok richiede di poter accedere a praticamente tutti i dati personali sul nostro smartphonePosizione, Informazioni personali, Informazioni finanziarie, Messaggi, Foto e video, Audio, Contatti, Attività dell’App, Navigazione sul Web, Informazioni e prestazioni dell’App, ID del dispositivo e altri ID.

Anche su iOS l’app richiede l’accesso a informazioni personali presenti sullo smartphone, anche se gli stessi riceratori hanno “notato che la versione Android ne ha molte di più rispetto alla versione IOS. IOS ha un sistema di giustificazione in cui per ottenere un’autorizzazione lo sviluppatore deve giustificare il motivo per cui è necessaria prima che venga concessa. Riteniamo che il sistema di giustificazione implementato da IOS limiti sistematicamente la cultura dell’ “arraffa quello che puoi”. Il fatto che TikTok abbia ottenuto un numero molto maggiore di autorizzazioni per Android rispetto a IOS è una buona dimostrazione della loro cultura in materia di privacy.”

Tuttavia, l’analisi evidenzia che l’app di TikTok per iOS effettua tutta una serie di connessioni verso la Cina, mentre sulla versione per Android i ricercatori non ne hanno trovato alcuna evidenza.

Quindi, quali sono i rischi per la nostra privacy?

Ormai gran parte della nostra quotidianità passa dallo smartphone. Che siano le chat o le mail di lavoro o di famiglia, le foto e i video delle vacanze, gli appuntamenti sul calendario e i clienti e fornitori in rubrica, i nostri cellulari sono delle verie e proprie “miniere d’oro” di informazioni preziose (e riservate).

Esattamente come per un PC, quando installiamo un programma (o “app”) sul nostro smartphone e forniamo a questa applicazione il permesso di accedere a questi dati, ne perdiamo il controllo. Non sappiamo, infatti, cosa e perché questa applicazione chiede di leggere il nostro calendario o sbirciare nella rubrica, così come perchè pretende di leggere i nostri SMS. Ma, soprattutto, non possiamo controllare cosa faccia di questi dati. Dati che non sono affatto anonimi e dicono moltissimo di noi, più di quanto noi stessi possiamo pensare.

Che sia TikTok o una qualsiasi altra applicazione, è importantissimo controllare a quali dati questa avrà accesso indiscriminato. Le migliori app, ad esempio, sono quelle che richiedono l’accesso a pochissimi dati, ovvero solo a quelli strettamente essenziali al suo funzionamento.

Per comodità, molto spesso siamo portati ad accettare tutto“che tanto cosa vuoi che succeda mai!”, ignari e inconsapevoli che stiamo permettendo a sconosciuti di prendere in mano tutte le informazioni che sono contenute nel nostro smartphone, posizione compresa.

Davvero riuscite a fidarvi così tanto? A credere che la vostra vita e i vostri dati non abbiano alcun valore? O, peggio, che questo valore non interessi a nessuno?

Come amo ripetere anche durante gli incontri e i corsi di formazione, la nostra reputazione passa anche dalla nostra attività in Rete. E difenderla, così come difendere i nostri dati, è fondamentale. Ed è una responsabilità collettiva, perché in quella rubrica a cui TikTok ha accesso potrebbe esserci anche il numero e le informazioni personali di tuo figlio, di tua moglie/marito, dei tuoi amici.

Questi ricercatori hanno messo a nudo tutta una serie di criticità dell’app di TikTok, una delle milioni disponibili sui marketplace di Android e iOS. Magari adesso avrete una consapevolezza diversa, migliore, quando lanciate questa applicazione. TikTok però è, come dicevo, solo una tra tantissime. E tante di queste hanno le medesime criticità, anche se meno famose e meno meritevoli di ricevere tutta questa attenzione.

Tuttavia, che sia l’app. di TikTok o un’altra applicazione, dobbiamo prestare attenzione alle nostre informazioni personali, evitando ad esempio di installare applicazioni non fidate o concedere autorizzazioni eccedenti il reale scopo dell’applicazione.

Qualche consiglio per difendersi

Chi mi chiede un consiglio su come difendersi da tutta questa “invadenza”, generalmente ottiene queste risposte:

  • installate le app più invasive o meno “sicure” su un secondo smartphone, magari più vecchio, che avete ripulito dai dati personali che usate quotidianamente;
  • evitate di installare giochi o altre applicazioni “free” sullo smartphone che usate per lavoro o che contiene informazioni riservate;
  • negate i permessi che ritenete non necessari. Ad esempio, un gioco non dovrebbe poter accedere alla rubrica o al calendario! Se insiste a chiedervi continuamente l’accesso a questi dati, valutate la disinistallazione;
  • privilegiate le app open source, usando market alternativi come F-Droid, che sono controllate dalla comunità e sono generalmente molto più sicure di quelle proprietarie;
  • le app “pirata” sono spesso veicolo di malware e trojan: evitate di installare applicazioni da fonti sconosciute;
  • spesso e volentieri, quando un servizio è gratuito, generalmente sfrutta i dati dei suoi utenti come “moneta” di scambio;
  • per i genitori, è di fondamentale importanza controllare cosa installano i proprio figli minorenni sul loro smartphone: i loro dati sono potenzialmente a rischio e parliamo, spesso, di informazioni relative a minori, come foto, contatti…

Concludendo, partendo dall’analisi dell’app. di TikTok –una delle più diffuse, con i suoi oltre 800 milioni di utenti in tutto il mondo-, l’obiettivo di questo articolo è migliorare la consapevolezza dei rischi, per la nostra (e altrui) privacy, di un uso non consapevole dello smartphone, una arma potentissima e spesso sottovalutata che teniamo tutto il giorno insieme a noi, tanto da essere quasi una “estensione” del nostro corpo.

Michele Pinassi
Nato e cresciuto a Siena, è Responsabile della Cybersecurity dell’Università di Siena. Lavora nel campo ICT da oltre 20 anni, usando esclusivamente software libero. Da sempre attento alle tematiche sulla privacy e sui diritti civili digitali, attraverso il suo blog nato nel lontano 2000, è ancora attivamente impegnato nel sensibilizzare i cittadini su queste tematiche.

Lista degli articoli

Articoli in evidenza

“Italia, Vergognati! Paese Mafioso!”. Insulti di Nova all’Italia dopo l’Attacco al Comune di Pisa

I black hacker di NOVA tornano a colpire, e questa volta con insulti all’Italia dopo la pubblicazione dei dati del presunto attacco informatico al Comune di Pisa. Dopo aver rivendicato l’...

Europol Operazione RapTor: 270 arresti e 184 milioni sequestrati. Crollano i mercati del Dark Web

Un’operazione globale di contrasto coordinata dall’Europol ha inferto un duro colpo alla criminalità underground, con 270 arresti tra venditori e acquirenti del dark web in dieci pa...

Scoperto il primo bug 0day da una AI sul kernel Linux! Un punto di svolta nel bug hunting?

Una vulnerabilità zero-day nel kernel Linux, è stata scoperta utilizzando il modello o3 di OpenAI. Questa scoperta, alla quale è stata assegnata la vulnerabilità CVE-2025-37899, se...

Hai seguito un bel tutorial su TikTok e non sei stato attento? Bravo, ti sei beccato un malware!

In un preoccupante segnale dell’evoluzione delle tattiche cybercriminali, i threat actor stanno ora sfruttando la popolarità di TikTok come canale per la distribuzione di malware avanzati ...

Lumma Stealer: inizio del takedown o solo una mossa tattica?

Nelle ultime ore si è assistito a un grande clamore mediatico riguardante il “takedown” dell’infrastruttura del noto malware-as-a-service Lumma Stealer, con un’operazi...

Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS
Contatti

Copyright @ REDHOTCYBER Srl
PIVA 17898011006