Kirjoitin tammikuussa laajan katsauksen TikTokin datankeruusta. Siinä viittaamani Internet .20-tietoturvayhtiön analyysit sovellusten datankeräystoimintojen riskeistä ovat päivittyneet. Tuoreiden analyysien koosteen mukaan TikTok on yhä kaikkein riskipitoisin sovellus.
Venäläinen VK-yhteisöpalvelun sovellus on riskipisteissä lähellä TikTokia ja listalla toisena. Sen jälkeen riskipitoisimpia ovat pikaviestisovellus Viber Messenger, Instagram ja LinkedIn.
Arviot pohjautuvat sovellusten Android-versioihin.
Kokosin tulokset kuvaajaksi:
Tässä kuvaajassa on riski-%:ien muutokset verrattuna viime vuoden vastaaviin analyyseihin:
TikTokiin liittyvät riskit löytyvät tarkemmin tästä tulossivulta. Alla tärkeimmät tulokset.
Riskipisteet: 60 % (vuosi sitten: 63 %)
Vaaralliset oikeudet (Malcoren sivuilta suomennettuina):
- CHANGE_NETWORK_STATE: Antaa sovelluksen muuttaa verkkoyhteyden tilaa.
- ACCESS_COARSE_LOCATION: Käyttää karkeita sijaintilähteitä kuten matkapuhelinverkon tietokantaa määrittääksesi likimääräisen puhelimen sijainnin. Haitalliset sovellukset voivat käyttää tätä määrittääkseen likimääräisen sijainnin.
- BLUETOOTH: Antaa sovelluksen tarkastella paikallisen Bluetooth-puhelimen asetuksia sekä muodostaa ja hyväksyä yhteyksiä pariksi liitettyjen laitteiden kanssa.
- CHANGE_WIFI_MULTICAST_STATE: Antaa sovelluksen vastaanottaa paketteja, joita ei ole suoraan osoitettu laitteellesi.
- REORDER_TASKS: Antaa sovelluksen siirtää tehtäviä etualalle ja taustalle. Haitalliset sovellukset voivat pakottaa itsensä etupuolelle ilman sinun hallintaasi.
- ACCESS_NETWORK_STATE: Antaa sovelluksen tarkastella kaikkien verkkojen tilaa.
- WRITE_EXTERNAL_STORAGE: Antaa sovelluksen kirjoittaa SD-kortille.
- READ_EXTERNAL_STORAGE: Antaa sovelluksen lukea SD-kortilta.
- READ_SETTINGS: Antaa sovellusten lukea sen laitteen yleiset asetukset.
- SYSTEM_ALERT_WINDOW: Antaa sovelluksen näyttää järjestelmähälytysikkunoita. Haitalliset sovellukset voivat vallata puhelimen koko näytön.
- CAMERA: Antaa sovelluksen ottaa kuvia ja videoita kameralla. Näin sovellus voi kerätä kuvia, joita kamera näkee milloin tahansa.
- WAKE_LOCK: Sallii sovelluksen estää puhelinta menemästä nukkumaan.
- RECORD_AUDIO: Antaa sovelluksen käyttää äänitallennepolkua.
- READ_CONTACTS: Antaa sovelluksen lukea kaikki puhelimeesi tallennetut yhteystiedot (osoitetiedot). Haitalliset sovellukset voivat käyttää tätä lähettääkseen tietojasi muille ihmisille.
- MODIFY_AUDIO_SETTINGS: Antaa sovelluksen muokata yleisiä ääniasetuksia, kuten äänenvoimakkuutta ja reititystä.
SDK-ohjelmistokirjastot ja ulkoiset seurantatoiminnot/datankerääjät:
- Pangle: mainonta
- Google Firebase Analytics: analytiikka
- AppsFlyer: analytiikka
- Facebook Share: sosiaalinen media
- Facebook Login: kirjautuminen ja tunnistaminen
- Google CrashLytics: kaatumisraportit
- VKontakte SDK: kirjautuminen ja tunnistaminen
- Teads: mainonta
- Bolts: analytiikka
Eli näille tahoille TikTok-sovellus voi lähettää dataa käyttäjästä. Facebookin Login ja VKontakte SDK puolestaan mahdollistavat kirjautumisen ko. somepalvelujen tunnuksilla (VK-kirjautuminen on käytössä vain tietyissä maissa).
Mainittakoon, että TikTok on vastannut Internet 2.o:n/Malcoren tuloksiin viime vuonna ja väittänyt niitä ”virheellisiksi ja puolueellisiksi”. Internet 2.0 on edelleen vastannut TikTokille, että havainnot perustuvat vain siihen, mitä TikTok-sovelluksen lähdekoodissa on.
TikTokin datankeräyksen tasot
TikTok on ymmärrettävistä syistä noussut ykköspuheenaiheeksi lähes kaikissa sovellusten tietoturvaan ja tietosuojaan liittyvissä koulutuksissa viimeisen vuoden ajan. Sitä varten kokosin yhteen kuvaan TikTokin datankeräyksen tasot:
Onko TikTok kiinalainen yritys?
TikTok on toistuvasti pyrkinyt kiistämään, ettei se ole ”kiinalainen yritys”. Tämä on mantra, jota yhtiön PR-ihmiset toistavat aina, kun kiinayhteydet otetaan esiin.
Esimerkiksi Tiktokin Pohjoismaiden yhteiskuntasuhdejohtaja ruotsalainen Christine Grahn vastasi TikTokin Kiina-yhteyksistä kysyttäessä näin Helsingin Sanomille:
”Me emme ole kiinalainen yritys. On määriteltävä, mikä on yhteys.”
TikTok ja sen emoyhtiö ByteDance on rekisteröity Caymansaarille. Kyseessä on tunnettu veroparatiisi.
Silti on selvää, että ByteDance on alkujaan nimenomaan kiinalainen ja sen useat avainhenkilöt ovat kiinalaisia, joten ByteDancea voi perustellusti luonnehtia ”kiinalaiseksi”.
TikTok kartalla:
Kun puhutaan TikTokin käyttäjädatan päätymisestä Kiinaan, on syytä muistaa, että asia tuodaan esille TikTokin tietosuojakäytännössä seuraavasti:
Tietyt konsernimme yksiköt, jotka sijaitsevat maissa, joissa ei ole tietosuojan riittävyyttä koskevaa päätöstä, saavat vakiosopimuslausekkeiden nojalla rajoitetun etäyhteyden kohdassa ”Mitä tietoja keräämme” kuvattuihin tietoihin tärkeiden toimintojen tarjoamiseksi. Nämä yksiköt sijaitsevat Australiassa, Brasiliassa, Kiinassa, Malesiassa, Filippiineillä, Singaporessa, Malesiassa ja Yhdysvalloissa.
On melko omituista, että TikTokin PR-ihmiset säännöllisesti haastatteluissa kiistävät tämän tietojen ”etäkäytön” eli siirron Kiinaan, vaikka se tuodaan esiin virallisessa tietosuojakäytännössä.
TikTokin ja Kiinan kommunisten puolueen välisiä yhteyksiä on tutkittu tarkemmin Australian parlamentin alaisen ulkomaista puuttumista käsittelevän erityiskomitean toimeksiannosta. Reilu vuosi sitten julkaistu raportti ”TikTok, ByteDance, and their ties to the Chinese Communist Party” (PDF) nojaa avoimiin lähteisiin, joista suuri osa on kiinalaisia ja sittemmin verkosta poistettuja.
Raportissa käydään seikkaperäisesti läpi TikTokin, sen sisarsovellus Douyinin ja ByteDancen avainhenkilöiden yhteyksiä Kiinan kommunistiseen puolueeseen ja maan viranomaisiin. Raportti ei jätä näitä yhteyksiä ja TikTokin taustalla vaikuttavia Kiinan tavoitteita epäselviksi. Ehkä tämän takia raportin ykköskirjoittaja esiintyy pseudonyymillä.
Lainaus raportin johdannosta (suomennos Google Kääntäjän avulla):
Tutkimuksemme vahvistaa kiistatta, että TikTokin omistaa ByteDance, ByteDance on kiinalainen yritys ja ByteDance on kaiken vaikutuksen, ohjauksen ja tosiasiallisen kontrollin alainen, jolle Kiinan kommunistinen puolue (CCP, Puolue) nyt alistaa koko Kiinan kansantasavallan teknologiayrityksiä. Näytämme kuinka CCP:n ja Kiinan valtion virastot (yhdessä Puolue-valtion kanssa) ovat laajentaneet siteitään ByteDanceen niin pitkälle, että yritystä ei voi enää kuvata tarkasti yksityisyritykseksi.
—
Enimmäkseen puuttuu kuitenkin keskustelu siitä, kuinka TikTok tarjoaa Pekingille piilevän kyvyn ”aseistaa” alusta tukahduttamalla, vahvistamalla ja muutoin kalibroimalla narratiiveja tavoilla, jotka mikrokohdistuvat poliittisiin äänestäjiin ulkomailla.
Raportin johtopäätös on siis selvä: TiKTokilla on vahvat yhteydet Kiinan kommunistiseen puolueeseen, ja Kiina voi halutessaan käyttää TikTokia alustana pyrkimyksilleen esimerkiksi kohdentamalla haluamiaan sisältöjä vaalien alla äänestäjille.
Raportissa on esimerkkejä eri aiheiden sisältöjen suosittelusta TikTokin algoritmissa verrattuna Twitteriin/X:ään, Instagramiin ja YouTubeen. Ensimmäisessä vertailussa analyysin kohteena oli aiheita, joita koskevien sisältöjen arvioitiin olevan joko myönteisiä tai epäedullisia Kiinan kommunistiselle puolueelle:
Ei liene yllättävää, että TikTokissa oli selvästi enemmän Kiinan kommunistiselle puolueelle mieluisaa sisältöä ja vähemmän sille epämieluisaa sisältöä kuin muissa somepalveluissa.
Toisessa vertailussa tarkasteltiin aiheita, joista on yleisesti liikkeellä runsaasti disinformaatiota:
Disinformaatiota sisältäviä julkaisuja oli TikTokin hakutuloksissa eniten yhdessä Twitterin/X:n kanssa.
Monissa muissakin selvityksissä on havaittu, että TikTokissa levitetään runsaasti disinformaatiota. Esimerkiksi syyskuussa 2023 Newsguard löysi TikTokista 17 tunnuksen verkoston, joka tehtaili AI-äänitekniikkaa käyttäviä videoita salaliittoteorioiden levittämiseen mm. Barack Obamasta. Verkosto oli julkaissut vain neljässä kuukaudessa n. 5000 videota, joilla oli yhteensä 336 miljoonaa katselukertaa ja 14,5 miljoonaa tykkäystä. Uusia vastaavia tapauksia tulee esiin jatkuvasti.
Artikkelikuva: Copilot Designer / DALL-E 3
Muitakin kuvia saa käyttää lähde mainiten.
LEHMÄTKIN LENTÄIS 