По кому тікає TikTok. Як популярний сервіс став головним порталом викачування даних користувачів

У статті «Великий брат за викликом» (№ 67, «Новая газета» від 29 червня 2020 р.) я полоскотав нерви читача розповіддю про те, як на торгових майданчиках даркнету ведеться жвава торгівля усім нашим спіднім: від деталізації телефонних дзвінків до персональних записів у базах даних МВС / ДІБДР / ФПС / ПФР / НБКІ та ін. Гранична актуалізація пропонованої інформації не залишає сумнівів: дані крадуть не «злі хацкери», а співробітники відомств, відповідальних за ведення цих самих баз даних.

Пропоную сьогодні поглибити наші знання питань цифрового нудизму й познайомитися з головним постачальником приватної інформації, яка різними манівцями рано чи пізно стає надбанням широкої громадськості. Якщо я зараз скажу, що основним джерелом витоку є ми самі, навряд чи хтось здивується.

Не здивується, бо нам давно натуркали повні вуха про те, як відповідально слід ставитися до особистої цифрової безпеки, вигадувати тільки надійні паролі, зберігати їх у надійному місці й т.д. Проте історія, яку збираюся сьогодні розповісти, трохи про інше.

Якщо коротко, то: не так важливо, з якою відповідальністю та серйозністю ви оберігає свої персональні дані, тому що їх усе одно рано чи пізно вкрадуть.

Чому? Тому що в наших мобільних телефонах, планшетах і комп'ютерах крадуть інформацію майже всі програми. Рідкісні винятки трапляються, та це лише підсилює загальну тенденцію.

Такий поворот сам по собі, знову ж таки, не дивує, оскільки ми якось уже змирилися з ключовою аксіомою сучасної цифрової економіки: якщо бачимо, що навколо нас усі товари безкоштовні, значить єдиним товаром на ринку є ми самі.

Народ наш, до речі, про такий стан справ у світі здогадувався задовго до цифрового століття й оформив здогад у чудовій приказці: «Безплатний сир буває тільки в мишоловці». На жаль, при переході з ріаллайфу в цифрову реальність народна мудрість десь на шляху загубилася, тому безвідповідальність нашої поведінки в мишоловках, розставлених на кожному розі віртуального світу, іноді просто вражає.

Особливо мене розчулюють друзі-філологи, колись — побратими по альма-матер, нині ж — побіліла від сивини й життєвої мудрості професура (а дехто навіть членкори Академії наук). З неприхованою радістю викладають вони у своїй стрічці ФБ відповіді на «онлайн-тести», із яких цифрові фраєри виносять фотки того, «як ви будете виглядати через 20 років», а цифрові авторитети — сотні мегабайтів неоціненної інформації з приватними фотографіями, відео, особистим листуванням і — головне — повною картограмою соціальних зв'язків і вподобань.

Ризикну, утім, припустити, що навіть просунутий з технічного погляду читач навряд чи здогадується про справжні масштаби цифрового злодійства і про цинічність тих, хто краде в користувачів особисті дані.

Є у світі одне масове запаморочення, яке називається TikTok. Придумала його у 2016 році в Пекіні нібито приватна компанія під назвою ByteDance. Будь-яка людина, знайома з устроєм китайської економіки, епітет «приватна» зобов'язаний пропустити повз вуха, бо в КНР у всьому, що стосується великих грошей, нічого приватного бути не може за визначенням: там усе де-факто державне — і гроші, й активи, і люди.

Фасад може бути яким завгодно, але суть незмінна: щасливі «мільярдери» й геніальні «бізнесмени» — люди, безсумнівно, заможні, але ніколи не вільні.

Вони службовці, а їхній успішний бізнес — це ще одна цеглинка у стіні історичного тріумфу Комуністичної партії.

Так ось, «приватна компанія» ByteDance вигадала у 2016 році соціальну мережу для створення й перегляду коротеньких (по 15 секунд) відеокліпів місцевим китайським населенням. Мережа називалася «Доуінь».

Два роки «Доуінь» розважав китайських людей, а потім виплив улітку 2018 року в міжнародні води — під іншою назвою (TikTok), на інших серверах, з іншими правилами цензури (точніше, узагалі без правил).

Сьогодні в TikTok відкриті представництва в усьому світі — в Берліні, Лондоні, Парижі, Лос-Анджелесі, Нью-Йорку, Дубаї, Мумбаї, Джакарті, Сеулі, Токіо. Незабаром буде в Москві (а, можливо, уже й відкрили, оскільки ще минулого літа велися успішні перемовини щодо цього).

Масштабна експансія пояснюється унікальною популярністю китайського сервісу: у світі ця «соціальна мережа» (лапки поясню згодом) налічує приблизно мільярд користувачів! Найбільше прихильників нехитрих відеоприколів — у США та Індії. Росія, Бразилія та Мексика намагаються не відставати.

За підсумками 2019 року, наші співвітчизники щомісяця переглядали в TikTok понад 16 млрд відеороликів і самі публікували 20 млн кліпів. «Лайкали», ясна річ, теж до самозабуття: 1,62 млрд разів!

Проблеми в TikTok почалися майже відразу після виходу за межі Піднебесної: у лютому 2018 року китайців звинуватили у США в незаконному зборі даних у дітей до 13 років без згоди їхніх батьків. Першого разу TikTok відбувся комариним укусом — штрафом 5,7 млн доларів.

Наступні 20 місяців TikTok успішно відбивався від звинувачень у «запереченні Голокосту», пропаганді педофілії та розпліднику конспірології, посилаючись на очевидне: за всіма користувачами-ідіотами встежити жодним чином не виходить.

Улітку 2019 року до TikTok спробував причепитися Роскомнадзор, але духовна й ідеологічна близькість заважала приховати театральність дії.

Про те, за яких умов відбувалися перемовини дружніх структур, можна зробити висновок за релізом РІА Новини: «Відбулася зустріч керівників профільних управлінь Роскомнадзору з представниками китайської соціальної мережі TikTok. Під час заходу обговорили широке коло питань взаємодії керівної компанії TikTok — ByteDance — і наглядового відомства. Сторони також обговорили питання локалізації баз персональних даних російських користувачів на розташованих у Росії серверних потужностях. Представники компанії підтвердили намір виконати цю вимогу російського законодавства».

Риторика рапорту про дружню бесіду так нагадує кіножурнал «Новини дня», який передував кожному кіносеансу в Радянському Союзі, що аж сльози на очі навертаються.

Ворог тим часом не дрімав. 27 листопада 2019 року в каліфорнійський суд відправився груповий позов проти ByteDance Inc. і TikTok Inc., у якому висувалися феєричні звинувачення:

«Його користувачі не здогадуються про те, що програмний код TikTok містить модулі китайської розвідувальної служби. TikTok секретно завантажує та пересилає на сервери, розташовані в Китаї, величезні обсяги приватної інформації, яка дозволяє ідентифікувати користувача, скласти його профіль, відстежити місце розташування та переміщення територією Сполучених Штатів. TikTok також таємно перехоплює без відома й дозволу користувачів файли, як-от відео, не призначені для публікації».

У січні 2020 року, не чекаючи рішення суду, Держдепартамент і міністерство внутрішньої безпеки США заборонили своїм співробітникам використовувати на службових пристроях TikTok. Усе це, однак, за відсутності прямих доказів, виглядало як черговий виток торговельної війни з Китаєм, тому дозволяло TikTok зняти з себе відповідальність і навіть симулювати праведне обурення.

Дзвін на китайському цвинтарі пробив 10 березня 2020 року. Програмісти Талаль Хадж Бакрі й Томмі Міск проаналізували системні логи мобільних пристроїв і дійшли висновку, що TikTok висмоктує зі смартфонів користувачів дані, які можуть містити адреси криптовалют, лінки для відновлення паролів, особисте листування, а також усе, що потрапляє в буфер обміну мобільного пристрою.

У дослідженні Бакрі й Міска був, проте, нюанс, який дозволяв TikTok, як і раніше, зберігати пристойну міну під час поганої гри: у крадіжці призначених для користувача даних були також викриті ще... 50 мобільних додатків!

Перелічувати їх усі немає потреби, тому назву лише ті, що напевне знайомі кожному читачеві: Viber, Russia Today, AliExpress, Hotels.com, Bejeweled, The Wall Street Journal, Reuters, New York Times, CNBC і т.д.

Те, що призначені для користувача дані крадуть також найбільші ЗМІ, торгові майданчики й популярні іграшки, дозволило TikTok послатися на загальноприйняту практику, приплести боротьбу зі спамом та оголосити — для послаблення напруги в суспільстві — про припинення крадіжок даних із буфера обміну мобільних пристроїв користувачів уже в найближчому релізі.

На щастя, довіра виявилася безповоротно підірваною, тому повне викриття TikTok стало лише питанням часу.

У травні софтверний інженер на прізвисько bangorlol здійснив успішну декомпіляцію коду TikTok. Від того, що він оприлюднив, волосся стало дибки в усього непрогресивного людства.

З'ясувалося, що функціонал «соціальної мережі» для TikTok — лише фасад, за яким ховається найпотужніша розвідувальна машина, котру за ефективністю роботи й обсягом поцуплених даних можна порівняти хіба що з американським «Ешелоном». TikTok перехоплює призначені для користувача дані після кожних 1-3 ударів по віртуальній клавіатурі!

Засмоктує при цьому в себе абсолютно все, що користувач дозволяє засмоктувати (тобто набирає на клавіатурі): паролі, особисте листування, замітки, грошові перекази. Гребе фотографії. Загрібає відеофайли.

У додатку навіть передбачена можливість час до часу заливати із сервера на смартфон користувача якийсь невідомий Zip-архів, розпаковувати його й запускати знову ж таки невідомий виконуваний код.

Потішно, що в коді TikTok установлено безліч захисних бар'єрів від декомпіляції. Далі більше: щойно TikTok розуміє, що ви проявляєте інтерес до того, які дані програма у вас вилучає, вона змінює свою поведінку, немов залягає на дно й на певний час припиняє шпигунський збір інформації.

Іншими словами, код TikTok писали не просто люди, заклопотані крадіжками даних, а ще й досвідчені знавці прийомів контррозвідки.

Здається, китайські «приватні підприємці» вже усвідомили, що гру програно, тому навіть не намагаються щось виправити. У березні, після публікації дослідження Бакрі й Міска, TikTok пообіцяв терміново видалити функціонал стеження за буфером обміну, проте буквально нещодавно вдалося переконливо довести, що нічого зроблено не було.

У червні компанія Apple передала розробникам для широкого тестування бета-версію нової операційної системи iOS 14, яка надає, серед іншого, додаткову можливість підвищити безпеку: щоразу, коли стороння програма робить запит до буфера обміну, наповненого даними з іншої програми, ОС виводить на екран відповідне повідомлення.

Перша ж перевірка показала, що TikTok як загрібав, так і продовжує гребти дані не перебираючи.

29 червня 2020 року уряд Індії врочисто оголосив про заборону китайської «соціальної мережі» TikTok, а заразом іще... 58 китайських мобільних додатків! Офіційна підстава: «Стурбованість загрозою, яку китайські програми створюють для національної безпеки, суверенітету й територіальної цілісності, а також безпеки даних, приватності та громадського порядку».

***

P.S. Поспішаю запевнити читача, що у мене немає упередженого ставлення ні до TikTok, ні до інших китайським софторобів. Я просто давно вже не маю ілюзій щодо нашої з вами ролі в харчовому ланцюгу, який сформувався у сучасному світовому інформаційному просторі.

Як ілюстрацію пропоную переглянути коротенький відеоролик, у якому видно, як iOS 14 запобігає спробам перехопити раніше збережене в буфері обміну приватне листування.

Спроби, які роблять не якісь там ворожі розвідники з TikTok, а найбільш респектабельні додатки — AccuWeather, Wall Street Journal, AliExpress, Fox News, VICE News, Overstock, Google News, Chrome, Pigment...

У дивовижний час ми живемо, товариші. Час, про який не мріялося ні Феліксу Едмундовичу, ні Еріку Артуровичу (більш відомому у світі під псевдонімом Джордж Орвелл).

Сергій Голубицький: журналіст «Новой газеты»