TikTok, Android Açığından Faydalanarak MAC Adreslerini Topladı
TikTok hakkında yapılan veri sızıntısı tartışmaları süratle devam etmekte. Perşembe günü araştırmacılar şoke edici bir sızıntı karşısında şaşakaldı. Çinli şirket, Google’ın yasakladığı bir tekniği kullanarak milyonlarca Android kullanıcısının MAC adreslerini çaldı.
Wall Street Journal raporuna göre, TikTok, milyonlarca mobil cihazın MAC adresini toplayabilmek için Android’deki gizlilik korumasını atlamak için yasaklanmış bir taktik kullandı. Bu taktik, kullanıcıların uygulamayı devre dışı bırakmalarına izin vermeden çevrimiçi olarak izlenmesine olanak tanıyor.
Merkezi Çin’in Pekin kentinde bulunan TikTok, ABD’de bir ulusal güvenlik tehdidi olarak tanımlandı. TikTok uygulaması tarafından toplanan verilerin hükümetin casusluk faaliyetlerine yardımcı olmak için kullanılabileceğine dair endişeler manşetlerde yer aldı.
Wall Street Journal, TikTok’un en az 15 ay boyunca MAC adreslerini toplamak için bir boşluktan yararlandığını söyledi. Uygulama Kasım 2020’de durdu.
MAC adresleri, COPA (Çocukların Çevrimiçi Gizliliğini Koruma Yasası) kapsamında kişisel olarak tanımlanabilir bilgiler olarak kabul edilir. Bir MAC adresi, Android ve iOS destekli cihazlar dahil tüm internet özellikli iletişim cihazlarında bulunan benzersiz tanımlayıcıdır. MAC adresleri, reklamları belirli kullanıcılara hedeflemek veya bireylerin dosyalarını izlemek ve oluşturmak için kullanılabilir.
TikTok, WSJ’nin bulgularına “TikTok’un mevcut sürümü MAC adreslerini toplamıyor” diyerek yanıt verdi. Ancak araştırma, şirketin bu verileri aylardır topladığını ve sonra toplamayı bıraktığını ortaya çıkardı.
Apple’ın iOS’u, 2013’te eklenen bir gizlilik özelliğinin bir parçası olarak üçüncü tarafların MAC adreslerini okumasını engelliyor. Lâkin Android’de açık hâlâ devam ediyor.
TikTok Veri Sızıntısını Açıklayan WSJ Raporuna Göre:
Journal’ın testi, TikTok’un uygulamaların MAC adreslerini daha dolambaçlı bir yoldan almasına olanak tanıyan bir geçici çözüm kullanarak Android’deki bu kısıtlamayı aştığını gösterdi.
Bay Reardon, güvenlik açığı nadiren kullanılsa da yaygın olarak bilindiğini söyledi. Android’in en son sürümünün hâlâ boşluğu kapatmadığını keşfettikten sonra, geçtiğimiz Haziran ayında Google ile ilgili resmi bir hata raporu sundu. Bu açık için “Hala istismar edilebilir olduğunu gördüğüm de şok oldum” dedi.
Bay Reardon’un raporu, TikTok’a özel değil, genel olarak boşlukla ilgiliydi. Hata raporunu sunduğunda, şirketin kendisine zaten dosyada benzer bir rapor olduğunu söylediğini söyledi. Google bu konu hakkında yorum yapmayı reddetti.
Journal’ın testi, TikTok’un en az 15 ay boyunca MAC adreslerini topladığını gösterdi. Ayırca ByteDance’ın Washington’daki ofisinde yoğun incelemeye alındığını ve geçen yıl 18 Kasım’da yayınlanan bir güncellemeyle sona erdiğini söyledi.
TikTok, MAC adresini diğer cihaz verileriyle birleştirdi. Uygulama ilk kurulduğunda ve yeni bir cihazda açıldığında direkt olarak ByteDance’e gönderdi. Bu pakette ayrıca, cihazın reklam kimliği de bulunuyordu. Reklam kimliği, 32 basamaklı bir numara olan, cihaza anonimlik ve bilgileri üzerinde kontrol sağlayan bir çeşit koddur.
Araştırma, TikTok’un alışılmadık miktarda veri toplamadığını ve genellikle neyin yakalandığına dair açık olduğunu ortaya koyuyor. Lâkin Journal, ana şirket ByteDance’in “yakaladığı verileri gizlemek” için olta atmış olabileceğini buldu.
Wall Street Journal, Nisan 2018 ile Ocak 2020 arasında Google Play Store’da yayınlanan TikTok’un dokuz sürümünü incelediğini söyledi.
Google, yeni keşfi araştırdığını belirtti.
