Il a été constaté que l'application TikTok Android exploitait les services du Play Store afin de regrouper des publicités personnalisées sans le consentement des utilisateurs.. Cette pratique est officiellement interdite par Google pour toutes les applications téléchargées sur leur référentiel.
TikTok recueille des données privées malgré l'interdiction officielle de Google: Fournit une publicité personnalisée aux utilisateurs
La populaire application mobile TikTok a été trouvée enfreindre les règles de Google sur la collecte de données. Il semble que l'entreprise ait pu trouver une faille permettant à l'application de collecter les identifiants MAC du réseau des appareils. Ils correspondent à chaque interface réseau unique (modem de données mobiles) et peut servir de moyen de suivre les utilisateurs.
L'application était connue pour collecter cette valeur pendant 2018 et 2019 puis aurait mis fin à cette pratique en suivant les règles mises en place par Google. Le règlement de la plate-forme du Google Play Store a interdit cela dans 2015 suivant Apple qui a interdit aux applications d'accéder aux identifiants des appareils dans 2013.
Apparemment, TikTok a pu trouver une faille dans les services de jeu afin de continuer cette pratique. Les nouvelles indiquent que cela est possible même dans les versions les plus récentes des services Google, indiquant que la faiblesse de sécurité n'a pas été corrigée. Une enquête a révélé que lors de la correspondance du trafic réseau, l'application mobile Android envoie des identifiants MAC avec d'autres données lors de son installation initiale et de son ouverture sur un appareil donné..
Dans ce flux réseau, il existe un identifiant publicitaire à 32 chiffres qui permet aux annonceurs de suivre facilement le comportement des consommateurs.. La réinitialisation de ce chiffre est possible, mais cela effacera simplement l'état actuel et recommencera à collecter des données. Lorsque l'ID MAC de l'interface réseau est combiné avec cet ID publicitaire, TikTok peut obtenir beaucoup plus d'informations sur les utilisateurs. Un processus appelé Pontage d'identification peut permettre à TikTok de se connecter à des (inactif) identifiants publicitaires pouvant inclure d'autres informations collectées dans le passé.
Cette faille est également utilisée par d'autres applications, notamment des jeux gratuits qui incluent des micro-transactions et de la publicité afin de monétiser les contenus. TikTok a déclaré avoir mis à jour son application et cette pratique n'est plus utilisée par eux.
Lecture supplémentaire: TikTok était récemment ciblé dans une escroquerie de phishing.