Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Select language
English Spanish
Cerca

TikTok e la privacy: l’app accede a Wi-Fi, GPS, contatti e calendario degli utenti

Michele Pinassi : 24 Febbraio 2023 09:15

I ricercatori dell’azienda di cybersecurity australiana Internet 2.0 hanno effettuato una dettagliata analisi sull’app di TikTok per iOS e per Android, rivelando quanto questa applicazione possa essere invasiva per gli utenti.

Sono state esaminate le versioni 25.1.3 per Android e la 25.1.1 per iOS, attraverso una analisi statica e dinamica del codice.

I risultati sembrerebbero essere piuttosto preoccupanti:

  • Mappatura del dispositivo. L’applicazione prende nota di quali sono le altre applicazioni in esecuzione sullo smartphone dell’utente, oltre che di quelle installate;
  • Geolocalizzazione. L’applicazione TikTok controlla la posizione dello smartphone almeno una volta l’ora;
  • Calendario. L’applicazione ha accesso persistente al calendario;
  • Contatti. TikTok ha accesso a tutti i contatti in rubrica. Se l’utente nega il permesso, l’applicazione continua incessantemente a chiederne l’acccesso;
  • Informazioni del dispositivo. L’applicazione raccoglie le seguenti informazioni dal dispositivo:
    • Wi-Fi SSID
    • Device build serial number
    • SIM serial number
    • Integrated Circuit Card Identification Number
    • Device IMEI
    • Device line number
    • Device MAC address
    • Device voicemail number
    • GPS status information (updates on the GPS location)
    • Active subscription information
    • All accounts on the device
    • Accesso completo alla clipboard del dispositivo

Sei un Esperto di Formazione?
Entra anche tu nel Partner program! Accedi alla sezione riservata ai Creator sulla nostra Academy e scopri i vantaggi riservati ai membri del Partner program.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]



Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


Inoltre, aggiungono i ricercatori, “Da notare anche che l’app di TikTok per IOS 25.1.1 effettua una connessione al server della Cina continentale gestito da un’azienda cinese top 100 nel campo della sicurezza informatica e dei dati, Guizhou Baishan Cloud Technology Co.“.

Come sapete, quando installiamo una nuova app sullo smartphone il sistema ci richiede se vogliamo fornire, o meno, l’accesso a determinati dati. Ad esempio, una applicazione di videoconferenza chiederà di poter accedere al microfono e alla telecamera. Anche secondo l’elenco delle autorizzazioni pubblicato su Google Play, l’app di TikTok richiede di poter accedere a praticamente tutti i dati personali sul nostro smartphonePosizione, Informazioni personali, Informazioni finanziarie, Messaggi, Foto e video, Audio, Contatti, Attività dell’App, Navigazione sul Web, Informazioni e prestazioni dell’App, ID del dispositivo e altri ID.

Anche su iOS l’app richiede l’accesso a informazioni personali presenti sullo smartphone, anche se gli stessi riceratori hanno “notato che la versione Android ne ha molte di più rispetto alla versione IOS. IOS ha un sistema di giustificazione in cui per ottenere un’autorizzazione lo sviluppatore deve giustificare il motivo per cui è necessaria prima che venga concessa. Riteniamo che il sistema di giustificazione implementato da IOS limiti sistematicamente la cultura dell’ “arraffa quello che puoi”. Il fatto che TikTok abbia ottenuto un numero molto maggiore di autorizzazioni per Android rispetto a IOS è una buona dimostrazione della loro cultura in materia di privacy.”

Tuttavia, l’analisi evidenzia che l’app di TikTok per iOS effettua tutta una serie di connessioni verso la Cina, mentre sulla versione per Android i ricercatori non ne hanno trovato alcuna evidenza.

Quindi, quali sono i rischi per la nostra privacy?

Ormai gran parte della nostra quotidianità passa dallo smartphone. Che siano le chat o le mail di lavoro o di famiglia, le foto e i video delle vacanze, gli appuntamenti sul calendario e i clienti e fornitori in rubrica, i nostri cellulari sono delle verie e proprie “miniere d’oro” di informazioni preziose (e riservate).

Esattamente come per un PC, quando installiamo un programma (o “app”) sul nostro smartphone e forniamo a questa applicazione il permesso di accedere a questi dati, ne perdiamo il controllo. Non sappiamo, infatti, cosa e perché questa applicazione chiede di leggere il nostro calendario o sbirciare nella rubrica, così come perchè pretende di leggere i nostri SMS. Ma, soprattutto, non possiamo controllare cosa faccia di questi dati. Dati che non sono affatto anonimi e dicono moltissimo di noi, più di quanto noi stessi possiamo pensare.

Che sia TikTok o una qualsiasi altra applicazione, è importantissimo controllare a quali dati questa avrà accesso indiscriminato. Le migliori app, ad esempio, sono quelle che richiedono l’accesso a pochissimi dati, ovvero solo a quelli strettamente essenziali al suo funzionamento.

Per comodità, molto spesso siamo portati ad accettare tutto“che tanto cosa vuoi che succeda mai!”, ignari e inconsapevoli che stiamo permettendo a sconosciuti di prendere in mano tutte le informazioni che sono contenute nel nostro smartphone, posizione compresa.

Davvero riuscite a fidarvi così tanto? A credere che la vostra vita e i vostri dati non abbiano alcun valore? O, peggio, che questo valore non interessi a nessuno?

Come amo ripetere anche durante gli incontri e i corsi di formazione, la nostra reputazione passa anche dalla nostra attività in Rete. E difenderla, così come difendere i nostri dati, è fondamentale. Ed è una responsabilità collettiva, perché in quella rubrica a cui TikTok ha accesso potrebbe esserci anche il numero e le informazioni personali di tuo figlio, di tua moglie/marito, dei tuoi amici.

Questi ricercatori hanno messo a nudo tutta una serie di criticità dell’app di TikTok, una delle milioni disponibili sui marketplace di Android e iOS. Magari adesso avrete una consapevolezza diversa, migliore, quando lanciate questa applicazione. TikTok però è, come dicevo, solo una tra tantissime. E tante di queste hanno le medesime criticità, anche se meno famose e meno meritevoli di ricevere tutta questa attenzione.

Tuttavia, che sia l’app. di TikTok o un’altra applicazione, dobbiamo prestare attenzione alle nostre informazioni personali, evitando ad esempio di installare applicazioni non fidate o concedere autorizzazioni eccedenti il reale scopo dell’applicazione.

Qualche consiglio per difendersi

Chi mi chiede un consiglio su come difendersi da tutta questa “invadenza”, generalmente ottiene queste risposte:

  • installate le app più invasive o meno “sicure” su un secondo smartphone, magari più vecchio, che avete ripulito dai dati personali che usate quotidianamente;
  • evitate di installare giochi o altre applicazioni “free” sullo smartphone che usate per lavoro o che contiene informazioni riservate;
  • negate i permessi che ritenete non necessari. Ad esempio, un gioco non dovrebbe poter accedere alla rubrica o al calendario! Se insiste a chiedervi continuamente l’accesso a questi dati, valutate la disinistallazione;
  • privilegiate le app open source, usando market alternativi come F-Droid, che sono controllate dalla comunità e sono generalmente molto più sicure di quelle proprietarie;
  • le app “pirata” sono spesso veicolo di malware e trojan: evitate di installare applicazioni da fonti sconosciute;
  • spesso e volentieri, quando un servizio è gratuito, generalmente sfrutta i dati dei suoi utenti come “moneta” di scambio;
  • per i genitori, è di fondamentale importanza controllare cosa installano i proprio figli minorenni sul loro smartphone: i loro dati sono potenzialmente a rischio e parliamo, spesso, di informazioni relative a minori, come foto, contatti…

Concludendo, partendo dall’analisi dell’app. di TikTok –una delle più diffuse, con i suoi oltre 800 milioni di utenti in tutto il mondo-, l’obiettivo di questo articolo è migliorare la consapevolezza dei rischi, per la nostra (e altrui) privacy, di un uso non consapevole dello smartphone, una arma potentissima e spesso sottovalutata che teniamo tutto il giorno insieme a noi, tanto da essere quasi una “estensione” del nostro corpo.

Michele Pinassi
Nato e cresciuto a Siena, è Responsabile della Cybersecurity dell’Università di Siena. Lavora nel campo ICT da oltre 20 anni, usando esclusivamente software libero. Da sempre attento alle tematiche sulla privacy e sui diritti civili digitali, attraverso il suo blog nato nel lontano 2000, è ancora attivamente impegnato nel sensibilizzare i cittadini su queste tematiche.

Lista degli articoli

Articoli in evidenza

Gli Exploit per Citrix Bleed2 sono online! Aggiornare immediatamente, la caccia è iniziata

Il CERT-AgID recentemente aveva avvertito che molte istanze pubbliche non sono ancora state aggiornate e tra queste 70 sono relative a banche, assicurazioni e pubbliche amministrazioni italiane. Ora l...

La suite Shellter Elite utilizzata dai Red Team per il bypass degli EDR, ora viene usata dal cybercrime

Shellter Project, produttore di un downloader commerciale per bypassare i sistemi antivirus ed EDR, ha segnalato che gli hacker stanno utilizzando il suo prodotto Shellter Elite per gli attacchi. Ques...

Il Cyberpandino è pronto per il Mongol Rally 2025: RHC tifa per voi ragazzi! A tutto GAS digitale!

Il progetto Cyberpandino non è solo un’idea folle, ma una grande avventura su quattro ruote progettata e realizzata da due menti brillanti romane – Matteo Errera e Roberto Zaccardi ...

Arriva 123 Stealer! 120 dollari al mese in abbonamento, per rubare qualsiasi dato riservato

Un nuovo infostealer emerge dalle underground criminali e il suo nome è “123 | Stealer”. L’autore di questo software è un hacker che si nasconde sotto lo pseudonimo di k...

Ha 13 anni e ha hackerato Microsoft Teams! La storia di Dylan, uno tra i più giovani bug hunter

A soli 13 anni, Dylan è diventato il più giovane ricercatore di sicurezza a collaborare con il Microsoft Security Response Center (MSRC), dimostrando come la curiosità e la perseveranza...

Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS
Contatti

Copyright @ REDHOTCYBER Srl
PIVA 17898011006