TikTok usou uma brecha para coletar identificadores de dispositivos no Android por mais de um ano: Relatório

TikTok usou uma brecha para coletar identificadores de dispositivos no

O aplicativo Android da TikTok coletou identificadores exclusivos de milhões de dispositivos móveis por pelo menos 15 meses, terminando com o lançamento de uma atualização em novembro do ano passado. Os identificadores exclusivos que o aplicativo de vídeo curto coletou, chamados de endereço de controle de acesso à mídia (MAC), são usados ​​principalmente para veicular anúncios personalizados. A última revelação veio poucos dias depois que o presidente dos EUA, Donald Trump, aprovou uma ordem executiva para proibir o TikTok no país. O aplicativo supostamente ajuda o Partido Comunista da China a ficar de olho no governo dos EUA.

A tática usada pelo TikTok para coletar endereços MAC de usuários do Android parece ter violado as políticas do Google, relatórios Jornal de Wall Street. A plataforma de propriedade da empresa chinesa de Internet ByteDance encerrou a prática por meio de uma atualização lançada em 18 de novembro.

Em 2013, a Apple impediu que desenvolvedores de aplicativos terceirizados coletassem endereços MAC de usuários de iPhone. O Google seguiu esse exemplo em 2015 e restrito Aplicativos Android disponíveis no Google Play coletam “informações de identificação pessoal ou associadas a qualquer identificador de dispositivo persistente”, incluindo endereços MAC e números IMEI. No entanto, o TikTok supostamente contornou a restrição do Google usando uma solução alternativa que foi implantada por meio de uma “rota mais tortuosa”.

O Wall Street Journal descobriu, por meio de uma investigação, que a TikTok agrupou os endereços MAC que coletou dos dispositivos Android com outros dados do dispositivo e os enviou para o ByteDance quando o aplicativo foi instalado pela primeira vez – logo após um usuário acessá-lo pela primeira vez. Os outros dados do dispositivo incluem uma ID de publicidade de 32 dígitos que permite aos anunciantes entender o comportamento do usuário sem fornecer quaisquer dados pessoais dos usuários. No entanto, os usuários podem redefinir o ID de publicidade de seus dispositivos, ao contrário do caso do endereço MAC, que não pode ser redefinido mesmo se o hardware estiver formatado.

Um estudo citado no relatório revelou que, em 2018, quase 350 aplicativos populares baseados na Internet no Google Play usaram a lacuna do Android que foi aproveitada pelo TikTok. Um pesquisador também foi citado no relatório dizendo que a falha era amplamente conhecida, mas ainda não foi corrigida pelo Google. No entanto, o Google não comentou o assunto ao ser contatado pela publicação.

O endereço MAC pode ser usado por anunciantes e empresas de análise de terceiros para rastrear o comportamento do consumidor de forma persistente, uma vez que não pode ser alterado ou redefinido. No entanto, o relatório do The Wall Street Journal observa que o TikTok armazenou a maioria dos dados do usuário que transmitiu em uma “camada extra de criptografia personalizada”.

Um porta-voz da TikTok disse que a versão atual de seu aplicativo não coleta endereços MAC. “Como nossos colegas, atualizamos constantemente nosso aplicativo para acompanhar os desafios de segurança em evolução”, disse o porta-voz.

O momento da nova descoberta é bastante interessante, já que o governo indiano proibiu o TikTok no final de junho e os EUA também estão seguindo essa medida. A ordem executiva aprovada pelo presidente dos Estados Unidos na semana passada pode cortá-lo da Apple App Store e do Google Play, bem como tornar a publicidade na plataforma ilegal. Ao mesmo tempo, empresas como a Microsoft estão demonstrando interesse em adquirir as operações globais da TikTok para utilizar sua presença distinta no mercado.


Em 2020, o WhatsApp terá o recurso matador que todo indiano está esperando? Discutimos isso no Orbital, nosso podcast semanal de tecnologia, que você pode assinar via Podcasts da Apple ou RSS, baixe o episódioou apenas aperte o botão play abaixo.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *