TikTok vzal ekosystém sociálních médií útokem. Zpočátku byla aplikace považována za pouhý pomíjivý výstřelek, ale nakonec překonala hranici jedné miliardy uživatelů rychleji než jakákoliv jiná platforma. Denně ji používají dvě třetiny amerických teenagerů. S tak závratným růstem se objevila řada podezření a skepse ohledně postupů při shromažďování dat a jejich vlastnictví. Mimo jiné proto, že mateřská společnost TikToku je z Číny. Ukazuje se, že daň za zábavní hodnotu, kterou tato sociální síť poskytuje, může být z hlediska soukromí a osobních dat poměrně zásadní.

O problematickém přístupu TikToku k ochraně dat se mluví dlouho. Nedávné zprávy například odhalily, že mateřská společnost TikToku zvaná ByteDance propustila čtyři zaměstnance, kteří neoprávněně získali přístup k osobním údajům dvou novinářů. Zdá se, že tohoto jsme byli svědky už dříve. Tento scénář je známý z kauzy Facebooku, který prodával data uživatelů společnosti Cambridge Analytica a ta je pak využila k ovlivnění amerických voleb.

Od té doby se stalo všeobecně známým faktem, že za bezplatné využívání platformy zaplatí uživatelé svými daty a stávají se tak obchodovaným zbožím. Vaše data jsou totiž pro tvůrce aplikací cennější než měsíční předplatné a to, jaké informace sbírají a co s nimi dělají, je často zamlženo v obchodních podmínkách a struktuře celé aplikace.

Nabízí se tedy otázka, zda je TikTok opravdu horší než ostatní sociální média, u kterých jsme si za ta léta zvykli na to, že shromažďují naše data? Anebo je to v případě TikToku to samé a aktuální znepokojení pouze vychází z růstu jeho popularity?

Jaké údaje TikTok shromažďuje?

Udělením souhlasu s podmínkami TikToku přijímáte také to, že může podrobně sledovat vaše chování, ostatně stejně tak je tomu i u starších sociálních platforem. Meta (mateřská společnost Facebooku, Instagramu a WhatsAppu), Twitter a YouTube sledují informace o tom, s čím a jak interagujete v rámci dané aplikace, ale i v rámci dalších nainstalovaných ve vašem telefonu.

TikTok se chová podobně. Ve své vlastní i v ostatních aplikacích ve vašem telefonu shromažďuje velké množství dat. V principu se tedy nejedná o nic výrazně jiného nebo horšího než u jeho předchůdců. To, co však TikTok od ostatních platforem odlišuje, je způsob, jakým data sbírá, jaká data vlastně sbírá, jak s nimi nakládá a jak se vyhýbá kontrolám, kterým se ostatní platformy podvolily.

Pokud souhlasíte s podmínkami používání TikToku, dáváte aplikaci souhlas s přístupem k velmi citlivým údajům z celého vašeho telefonu. Automaticky jsou sbírány informace týkající se konkrétního modelu telefonu, operačního systému, kódu pro odemykání obrazovky nebo IP adres. TikTok je známý svými agresivními metodami při sběru dat.

Z údajů ve vašem telefonu si může vytvářet i kopie: z kontaktů, fotoaparátu (včetně pořizování snímků a nahrávání videí), nástěnky, notifikací, SD karty (včetně čtení a úpravy obsahu), nahrávání zvuku, z podrobností o vašem zařízení a jeho uživateli, vaší polohy podle času, údajů o obličeji, všech produktů, které se dostanou do záběru fotoaparátu, e-mailů a dalších kontaktních informací, vašeho hlasu, jména, věku a dalších.

Je toho hodně. A to ani zdaleka není všechno, co je při používání aplikace sdíleno a vy s tím souhlasíte. Další informace k datům, ke kterým má TikTok přístup, najdete v tomto článku na TechCrunchi a v tomto článku na Gizmodu.

Co dalšího umí aplikace TikTok?

Nejvíce znepokojující je, že výše zmíněné údaje i všechny další, které TikTok shromažďuje, ani nejsou celým příběhem, pokud jde o to, jak je aplikace invazivní. Způsob, jakým se aplikace chová (a uživatel k tomu dává na telefonu souhlas), se v mnoha zásadních oblastech blíží spíše malwaru.

TikTok má přístup k vašemu připojení k síti a wi-fi, může ovládat nastavení vibrací, sám si může vyžádat instalaci balíčků, ovládat nastavení synchronizace, nahrávat všechny spuštěné aplikace, měnit zvuk a posílat oznámení, bránit uspání telefonu a sám může instalovat zkratky. To je opět jen malá ukázka všech funkcí, které může aplikace využít.

Uživatel to může zjistit na začátku používání, kdy potvrdí uživatelské podmínky, případně pokud se detailně podívá na nastavení nebo pokud mu v rámci updatu přijde žádost o zakliknutí souhlasu s takovým nastavením. Chcete-li získat více informací, můžete se do hlouběji ponořit do této analýzy na webu ProofPoint.

Obecně lze říci, že podmínky užití aplikace TikToku jsou velmi podobné na zařízeních s operačním systémem Android a iOS. Mezi oběma platformami se mohou vyskytnout lehké rozdíly v použití konkrétních slovních spojení, které vycházejí z odlišností mezi těmito platformami. Zároveň je třeba poznamenat, že v oblasti sběru dat a jejich předávání třetím stranám je TikTok mnohem aktivnější než jeho další konkurenti mezi sociálními sítěmi.

Ani úplný seznam znepokojivých funkcí viditelných pro nezúčastněné osoby by nebyl ničím víc než jen špičkou ledovce. Kód aplikace je navržen tak, že velmi pravděpodobně existuje mnoho dalších škodlivých funkcí, které ani nejsme schopni plně vyhodnotit, jak ve svých zjištěních naznačuje i výzkumník v oblasti bezpečnosti a ochrany soukromí Felix Krause.

Kontrole a analýze kódu od společností Apple a Google se TikTok vyhýbá a používá vlastní nativní knihovny, které je mnohem těžší sledovat než veřejně dostupné knihovny. Díky těmto nativním knihovnám je také daleko obtížnější provést reverzní inženýrství za účelem pochopení procesů na pozadí. Už tak jsou viditelné funkce pro bezpečnostní odborníky znepokojující, ale je pravděpodobné, že je toho ještě mnohem víc, než se na první pohled zdá.

Kam TikTok odesílá data uživatelů?

Že aplikace TikTok shromažďuje mnohem více údajů a má nad vaším zařízením výrazně větší kontrolu, než by měla mít jakákoliv aplikace, je jedna věc. Aby toho však nebylo málo, další rozměr potenciálního rizika přináší otázka, co se s našimi daty děje a kam je TikTok posílá.

TikTok sdílí uživatelská data široké škále pochybných třetích stran. K označení „pochybné strany“ přispívá to, že vyvinul velké úsilí k zamlžení hranic mezi místním shromažďováním a ukládáním dat a tím, komu vaše data posílá. Ačkoli tvrdí, že data jsou ukládána v USA a Singapuru, zdá se velmi pravděpodobné, že obrovské množství uživatelských dat je odesíláno do Číny a neznámým třetím stranám v rámci tohoto státu.

Jelikož je mateřská společnost TikToku založená v Číně, kde má i svou centrálu, v níž probíhá naprostá většina jejího vývoje, dávalo by to dokonalý smysl. Nemluvě o tom, že již bylo zdokumentováno mnoho narušení dat jejích amerických a australských serverů čínskými subjekty. Čínský stát navíc může získat přístup k jakékoli společnosti a jejím údajům.

Přestože přesný rozsah přístupu čínského státu k údajům uživatelů TikToku není jasný, je zřejmé, že je rozsáhlý. To představuje množství bezpečnostních rizik na mnoha úrovních. Zároveň je ale třeba dodat, že se TikTok v posledních letech snaží dělat maximum pro to, aby nebyl vnímaný jako čínská firma a současně se snaží od své mateřské firmy ByteDance distancovat. V minulosti například zvažoval otevření celosvětové centrály v Dublinu, Londýně nebo Singapuru.

Vyplatí se to?

Každý, kdo TikTok vyzkoušel, si nejspíše všiml toho, jak snadné je ho používat a v nekonečném obsahu zobrazovat další a další videa jednoduchým posunutím prstu. Rychlé a impulzivní zkontrolování aplikace se může změnit v hodiny ztraceného času. Na jednu stranu je třeba vývojářům a UX/UI inženýrům přiznat, že dokázali vytvořit opravdu pohlcující zážitek. Vymyslet tak návykovou aplikaci pro tak širokou část populace není snadné. Je zřejmé, že je velmi líbivá, a je vedlejší odsuzovat ty, kteří ji rádi používají.

Sdílení videí a komunikace s ostatními na této platformě se staly oblíbenou zábavou pro více než miliardu uživatelů. Je to nové paradigma vyjadřování, jedinečná platforma pro moderní digitální zážitky. A pomineme-li všechny bezpečnostní problémy, je nesmírně působivá.

Problémem však je, zda tento nový způsob interakce a zábavy stojí za rizika, která aplikace sama o sobě představuje. Mnozí by mohli namítnout, že nemají co skrývat, že jejich data nejsou cenná a je jim jedno, kdo je shromažďuje. Jde však spíše o širší souvislosti – pokud jsou data každého člověka shromažďována a analyzována v tak detailním měřítku, pokud mohou nekalí aktéři potenciálně ovládat zařízení obrovské části cizí populace, nejde už o ochranu osobních údajů, ale o bezpečnost státu na makroúrovni.

To může být daň za zábavní hodnotu, kterou TikTok poskytuje. Teprve čas ukáže, jak na představená rizika zareaguje obyvatelstvo a vlády států.