İddiaya göre TikTok bir güvenlik açığından yararlanarak 15 ay boyunca Android cihazların MAC adreslerini topladı

Yorumlar

Bir yandan Amerika'da hayatta kalabilmek için yatırımcı arayışı, diğer yandan art arda gelen casusluk suçlamaları ile Çinli video paylaşım platformu TikTok hayli zorlu günler geçiriyor. Uygulama kullanıcı verilerini topladığı ve bu verileri usulsüzce kullanıyor olduğu suçlamalarla sıklıkla gündeme geliyor. Birçok bölgede yasaklanmanın eşiğinde olmasının sebebi de tam olarak bu suçlamalar.

Bugüne dek TikTok'ın kullanıcı verisi topluyor olabileceğine dair bazı bulgulara rastlansa da casusluk yaptığına veya kullanıcı verilerini kullanarak usulsüz kazanç elde ettiğine dair çok da somut deliller mevcut değildi. Güçlü bir kaynaktan gelen yepyeni bir iddia ise bu suçlamaları doğrular nitelikte olabilir.

Wall Street Journal, TikTok'ın Android uygulamasına ilişkin analizleri 2018'den 2020'ye kadar bir araya getirip inceledi ve "bir mobil uygulama için alışılmadık miktarda bilgi topladığını" dile getirdi. Bununla birlikte haber kuruluşu TikTok'ın geçtiğimiz yılın sonlarına kadar, yaklaşık 15 ay boyunca TikTok'ın bir güvenlik açığından faydalanarak kullanıcıların MAC adreslerini topladığını saptadı.

MAC adresleri bir bilgisayar ağında, bir cihazın ağ donanımını tanımaya yarar. Her ağ kartı için ayrıdır ve kartın içine üretilirken kodlanmış bir numaradır. Kısacası internet bağlantısını kullanabilen her cihazın kendisine özel oluşturulmuş kimlik numarası diyebiliriz MAC adresleri için. Ayrıca bu adresleri değiştirmek pek mümkün değil.

Google, normal şartlarda platformdaki geliştiricilerin kullanıcıların MAC veya IMEI gibi sabit kimliklerine erişebilmelerini kati suretle engelliyor. Kullanıcılara platformda kullanabilecekleri kolayca sıfırlanabilen anonim kimlikler sağlıyor ve bu şekilde uygulamalar aracığılıyla cihazların MAC adreslerine ulaşılamıyor ancak bu durum çeşitli güvenlik açıkları yakalayarak cihazların gerçek kimliklerine de ulaşılamayacağı anlamına gelmiyor. Bu açıkları kovalayarak kullanıcı verilerine erişen kötü niyetli uygulamaların varlığı zaten biliniyordu ve WSJ TikTok'ın da bunlardan biri olduğunu iddia ediyor.

WSJ'in iddialarına göre TikTok ayrıca topladığı verileri maskelemek için ek bir şifreleme katmanı da kullandı. Gözetlenmeyi, takibi önleyebilmek için internet trafiğine şifreleme uygulamak standart bir uygulama ancak TikTok tarafından uygulanan ek şifreleme katmanı alışılmadıktı.ve uygulamayı daha güvenli hale getirecek herhangi bir geliştirmeye, iyileştirmeye sahip değildi.

Şirketler, hedef müşteri kitlelerine daha kolay ulaşabilmek için MAC adreslerini veya benzer tanımlayıcıları satın alıyorlar. MAC adresleri zaman içinde değişmediğinden reklam verenler o cihazın ağ trafiğini kesintisiz şekilde takip edebiliyorlar ve bu sayede potansiyel müşterileri hızlı bir şekilde tanıyorlar. TikTok'ın MAC adreslerini topluyor olmasının sebebi de çok büyük olasılıkla kullanıcı verilerini bu tarz kuruluşlara satarak kazanç elde ediyor olması.

TikTok 18 Kasım 2019 tarihli bir yazılım güncellemesiyle MAC adreslerine erişmeyi bırakmış ve TikTok'ın güncel sürümü MAC adreslerine erişim sağlamıyor. Ondan önceki 15 ay boyunca ise tüm kullanıcıların cihaz kimliklerine ulaşabiliyordu ve o günlerde de çok büyük bir kullanıcı kitlesi olduğundan dolayı çok büyük ihtimalle milyonlarca MAC adresini toplayıp depoladı.