По ком тикает TikTok. Как популярный сервис стал главным порталом по выкачиванию данных пользователей

В статье «Большой брат по вызову» (№ 67, «Новая газета» от 29 июня 2020 г.) я пощекотал нервы читателя рассказом о том, как на торговых площадках даркнета ведется бойкая торговля всем нашим исподним: от детализации телефонных звонков до персональных записей в базах данных МВД / ГИБДД / ФНС / ПФР / НБКИ и проч. Предельная актуализация предлагаемой информации не оставляет сомнений: данные воруют не «злые хацкеры», а сотрудники ведомств, ответственных за ведение этих самых баз данных.

Предлагаю сегодня углубить наши познания в вопросах цифрового нудизма и познакомиться с главным поставщиком приватной информации, которая разными окольными путями рано или поздно становится достоянием широкой общественности. Если я сейчас скажу, что основным источником утечки выступаем мы сами, вряд ли кто-то будет ошарашен.

Не будет, потому что нам давно все уши прожужжали о том, как надлежит ответственно относиться к личной цифровой безопасности, придумывать только надежные пароли, хранить их в укромном месте и т.д. Однако история, которую собираюсь сегодня поведать, немного о другом.

Если коротко, то: не так важно, с какой ответственностью и серьезностью вы оберегаете свои персональные данные, потому что их всё равно рано или поздно украдут.

Почему? Потому что в наших мобильных телефонах, планшетах и компьютерах воруют информацию почти все приложения. Редкие исключения случаются, но это лишь усиливает общую тенденцию.

Подобный поворот сам по себе опять-таки не удивляет, потому что мы худо-бедно уже смирились с ключевой аксиомой современной цифровой экономики: если видим, что вокруг нас все товары бесплатные, значит единственным товаром на рынке являемся мы сами.

Народ наш, кстати, о таком положении вещей в мире догадывался задолго до цифрового века и оформил догадку в замечательной поговорке: «Бесплатный сыр бывает только в мышеловке». К сожалению, при переходе из риаллайфа в цифровую реальность народная мудрость где-то по пути потерялась, поэтому безответственность нашего поведения в мышеловках, расставленных на каждом углу виртуального мира, порой просто потрясает.

Особенно меня умиляют друзья-филологи, некогда — собратья по альма-матер, ныне же — убеленная сединами и житейской мудростью профессура (а кое-кто даже членкоры Академии наук). С нескрываемой радостью выкладывают они в своей ленте ФБ ответы на «онлайн-тесты», из которых цифровые фраеры выносят фотки того, «как вы будете выглядеть через 20 лет», а цифровые авторитеты — сотни мегабайт бесценной информации с приватными фотографиями, видео, личной перепиской и — главное — полной картограммой социальных связей и предпочтений.

Рискну, однако, предположить, что даже продвинутый в техническом отношении читатель едва ли догадывается об истинных масштабах цифрового воровства и о циничности тех, кто ворует у пользователей личные данные.

Есть на свете одно массовое умопомрачение, которое называется TikTok. Придумала его в 2016 году в Пекине якобы частная компания под названием ByteDance. Любой человек, знакомый с устройством китайской экономики, эпитет «частная» обязан пропустить мимо ушей, потому что в КНР во всем, что касается больших денег, ничего частного быть не может в принципе: там всё де-факто государственное — и деньги, и активы, и люди.

Фасад может быть каким угодно, но суть неизменна: удачливые «миллиардеры» и гениальные «бизнесмены» — люди, несомненно, состоятельные, но никогда не свободные.

Они служащие, а их успешный бизнес — это еще один кирпичик в стене исторического триумфа Коммунистической партии.

Так вот, «частная компания» ByteDance придумала в 2016 году социальную сеть для создания и просмотра коротеньких (по 15 секунд) видеоклипов местным китайским населением. Сеть называлась «Доуинь».

Два года «Доуинь» развлекал китайских людей, а затем выплыл летом 2018 года в международные воды — под другим названием (TikTok), на других серверах, с другими правилами цензуры (вернее, без всяких правил).

Сегодня у TikTok открыты представительства по всему миру — в Берлине, Лондоне, Париже, Лос-Анджелесе, Нью-Йорке, Дубае, Мумбаи, Джакарте, Сеуле, Токио. Скоро будет в Москве (а, может, уже и открыли, поскольку еще прошлым летом велись успешные переговоры на этот счет).

Масштабная экспансия объясняется уникальной популярностью китайского сервиса: в мире у этой «социальной сети» (кавычки объясню чуть позже) около миллиарда пользователей! Больше всего поклонников незамысловатых видеоприколов — в Индии и США. Россия, Бразилия и Мексика стараются не отставать.

По итогам 2019 года наши соотечественники ежемесячно просматривали в TikTok более 16 млрд видеороликов и сами выкладывали 20 млн клипов. «Лайкали», разумеется, тоже до самозабвения: 1,62 млрд раз!

Проблемы у TikTok начались почти сразу после выхода за пределы Поднебесной: в феврале 2018 года китайцев обвинили в США в незаконном сборе данных у детей до 13 лет без согласия их родителей. По первому разу TikTok отделался комариным укусом — штрафом в 5,7 млн долларов.

Следующие 20 месяцев TikTok успешно отбивался от обвинений в «отрицании Холокоста», пропаганде педофилии и рассаднике конспирологии, ссылаясь на очевидное: за всеми пользователями-идиотами уследить никак не получается.

Летом 2019 года к TikTok попытался было прицепиться Роскомнадзор, но духовная и идеологическая близость мешала утаить театральность действия.

О том, в какой обстановке проходили переговоры дружественных структур, можно судить по релизу РИА Новости: «Состоялась встреча руководителей профильных управлений Роскомнадзора с представителями китайской социальной сети TikTok. На встрече обсуждался широкий круг вопросов взаимодействия управляющей TikTok компании ByteDance и надзорного ведомства. Стороны также обсудили вопрос локализации баз персональных данных российских пользователей на расположенных в России серверных мощностях. Представители компании подтвердили намерение выполнить данное требование российского законодательства».

Риторика рапорта о дружеской беседе до того напоминает киножурнал «Новости дня», предварявший каждый киносеанс в Советском Союзе, что прям слезы на глаза наворачиваются.

Враг тем временем не дремал. 27 ноября 2019 года в калифорнийский суд отправился групповой иск против ByteDance Inc. и TikTok Inc., в котором выдвигались феерические обвинения:

«Пользователи не догадываются о том, что программный код TikTok содержит модули китайской разведывательной службы. TikTok секретно выкачивает и пересылает на серверы, расположенные в Китае, огромные объемы частной информации, которая позволяет идентифицировать пользователя, составить его профиль, отследить местоположение и перемещения по территории Соединенных Штатов. TikTok также тайно перехватывает без ведома и разрешения пользователей файлы, например, видеозаписи, не предназначенные для публикации».

В январе 2020 года, не дожидаясь вердикта суда, Госдепартамент и министерство внутренней безопасности США запретили своим сотрудникам использовать на служебных устройствах TikTok. Всё это, однако, при отсутствии прямых доказательств выглядело как очередной виток торговой войны с Китаем, поэтому позволяло TikTok уходить в глухой отказ и даже симулировать праведное возмущение.

Колокол на китайском погосте пробил 10 марта 2020 года. Программисты Талаль Хадж Бакри и Томми Миск проанализировали системные логи мобильных устройств и пришли к заключению, что TikTok высасывает из смартфонов пользователей данные, которые могут содержать адреса криптовалют, линки для восстановления паролей, личную переписку, а также всё, что попадает в буфер обмена мобильного устройства.

В исследовании Бакри и Миска содержался, однако, нюанс, который по-прежнему позволял TikTok сохранять сносную хорошую мину при плохой игре: в воровстве пользовательских данных были также уличены еще… 50 мобильных приложений!

Перечислять их все нет нужды, поэтому назову лишь те, что наверняка знакомы каждому читателю: Viber, Russia Today, AliExpress, Hotels.com, Bejeweled, The Wall Street Journal, Reuters, New York Times, CNBC и т.д.

Обстоятельство того, что пользовательские данные воруют также крупнейшие СМИ, торговые площадки и популярные игрушки, позволило TikTok сослаться на общепринятую практику, приплести борьбу со спамом и объявить — для снижения напряжения в обществе — о прекращении воровства данных из буфера обмена мобильных устройств пользователей уже в ближайшем релизе.

К счастью, доверие оказалась безвозвратно подорванным, поэтому полное разоблачение TikTok стало лишь вопросом времени.

В мае софтверный инженер по прозвищу bangorlol провел успешную декомпиляцию кода TikTok. От того, что он обнародовал, волосы встали дыбом у всего непрогрессивного человечества.

Оказалось, что функционал «социальной сети» для TikTok — лишь фасад, за которым скрывается мощнейшая разведывательная машина, сопоставимая по эффективности работы и объему украденных данных разве что с американским «Эшелоном». TikTok перехватывает пользовательские данные после каждых 1–3 ударов по виртуальной клавиатуре!

Засасывает при этом в себя абсолютно всё, что пользователь позволяет засасывать (то есть набирает на клавиатуре): пароли, личную переписку, заметки, денежные переводы. Гребёт фотографии. Гребёт видеофайлы.

В приложении даже предусмотрена возможность время от времени заливать из сервера на смартфон пользователя какой-то неведомый Zip-архив, распаковывать его и запускать опять-таки неведомый исполняемый код.

Забавно, что в коде TikTok установлено множество защитных барьеров от декомпиляции. Дальше больше: как только TikTok понимает, что вы проявляете интерес к тому, какие данные программа у вас изымает, она меняет своё поведение, ложится как бы на дно и на время прекращает шпионский сбор информации.

Иными словами, код TikTok писали не просто люди, озабоченные воровством данных, но ещё и искушённые в приемах контрразведки.

Похоже, что китайские «частные предприниматели» уже осознали, что игра проиграна, поэтому даже не пытаются что-то исправить. В марте, после публикации исследования Бакри и Миска, TikTok пообещал срочно удалить функционал слежения за буфером обмена, однако буквально на днях удалось достоверно доказать, что ничего сделано не было.

В июне компания Apple передала разработчикам для широкого тестирования бета-версию новой операционной системы iOS 14, которая предоставляет, среди прочего, дополнительную возможность повысить безопасность: всякий раз, как сторонняя программа делает запрос к буферу обмена, наполненному данными из другого приложения, ОС выводит на экран соответствующее уведомление.

Первая же проверка показала, что TikTok как греб, так и продолжает грести данные без разбора.

29 июня 2020 года правительство Индии торжественно объявило о запрете китайской «социальной сети» TikTok, а за одно и еще… 58 китайских мобильных приложений! Официальное основание: «Озабоченность угрозой, которую китайские программы представляют для национальной безопасности, суверенитета и территориальной целостности, а также безопасности данных, приватности и общественного порядка».

***

P.S. Спешу уверить читателя, что у меня нет предвзятого отношения ни к TikTok, ни к иным китайским софтоделам. У меня просто давно не осталось иллюзий по поводу нашей с вами роли в пищевой цепочке, сложившейся сегодня в мировом информационном пространстве.

В качестве иллюстрации предлагаю посмотреть коротенький видеоролик, в котором видно, как iOS 14 предотвращает попытки перехватить ранее сохраненную в буфер обмена частную переписку.

Попытки, которые предпринимают не какие-то там нерукопожатные разведчики из TikTok, а самые что ни на есть респектабельные приложения — AccuWeather, Wall Street Journal, AliExpress, Fox News, VICE News, Overstock, Google News, Chrome, Pigment…

В удивительное время мы живем, товарищи. Время, о котором не мечталось ни Феликсу Эдмундовичу, ни Эрику Артуровичу (более известному в миру под псевдонимом Джордж Оруэлл).

Автор: Сергей Голубицкий, «Новая газета»