Descobriu-se que o aplicativo TikTok Android explora os serviços da Play Store para agregar publicidade personalizada sem o consentimento do usuário. Esta prática foi oficialmente proibida pelo Google para todos os aplicativos carregados em seu repositório.
TikTok coleta dados privados apesar da proibição oficial do Google: Oferece publicidade personalizada aos usuários
O popular aplicativo móvel TikTok foi encontrado quebrar as regras do Google sobre coleta de dados. Parece que a empresa conseguiu encontrar uma brecha permitindo que o aplicativo coletar os MAC IDs da rede dos dispositivos. Eles correspondem a cada interface de rede única (modem de dados móvel) e pode servir como uma forma de rastrear os usuários.
O aplicativo era conhecido por coletar esse valor por em 2018 e 2019 e então supostamente interrompeu essa prática seguindo as regras estabelecidas pelo Google. Os regulamentos da plataforma da Google Play Store baniram isso em 2015 seguindo a Apple, que proibiu aplicativos de acessar os IDs do dispositivo em 2013.
Aparentemente, o TikTok conseguiu encontrar uma brecha no Play Services para continuar essa prática. Reportagens indicam que isso é possível até mesmo em versões mais recentes dos serviços do Google, indicando que a falha de segurança permanece sem correção. Uma investigação descobriu que, durante a correspondência de tráfego de rede, o aplicativo móvel Android envia MAC IDs junto com outros dados quando é inicialmente instalado e aberto em um determinado dispositivo.
Neste fluxo de rede, há um evidente ID de publicidade de 32 dígitos que permite aos anunciantes rastrear facilmente o comportamento dos consumidores. A reinicialização deste dígito é possível, mas isso apenas limpará o estado atual e começará a coletar dados novamente. Quando o MAC ID da interface de rede é combinado com este ID de publicidade, o TikTok pode obter muito mais informações sobre os usuários. Um processo chamado Ponte de ID pode permitir que o TikTok se conecte a (inativo) IDs de publicidade que podem incluir outras informações que foram coletadas no passado.
Esta lacuna também é usada por outros aplicativos, notavelmente jogos gratuitos que incluem microtransações e publicidade para monetizar o conteúdo. A TikTok afirmou que atualizou seu aplicativo e esta prática não é mais usada por eles.
Leitura adicional: TikTok foi recentemente alvo de um golpe de phishing.
Martin Beltov
Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.
Me siga: