Desde 2020, vários governos e organizações baniram ou consideraram banir o imensamente popular aplicativo de mídia social TikTok dos dispositivos de seus funcionários.
Com todos esses alarmes tocando, pensamos que poderia ser útil para quebrar o que sabemos e ver se podemos traçar uma estratégia sensata a partir daí. Então, se seu cabelo está pegando fogo, apague-o e considere isso com a cabeça fria.
Se você preferir ouvir a ler, o Malwarebytes abordou esse tópico em um recente LinkedIn Live.
TikTok é uma plataforma de mídia social imensamente popular que permite aos usuários criar, compartilhar e descubra, videoclipes curtos. Ele recebeu um crescimento explosivo desde que apareceu pela primeira vez em 2017 e agora afirma ter mais de 1 bilhões de usuários, cerca de 150 milhões deles nos EUA.
Em 2020, A Índia foi o primeiro país a banir o TikTok, juntamente com cerca de 200 outros aplicativos chineses cuja operação foi bloqueada no país. A decisão veio duas semanas depois que uma operação militar chinesa na fronteira norte da Índia resultou na morte de pelo menos 20 soldados indianos.
No mesmo ano, a gigante do varejo A Amazon enviou um memorando aos funcionários dizendo-lhes para excluir o popular aplicativo de mídia social de seus telefones. Ainda antes, em dezembro de 2019, o Exército dos EUA proibiu o uso do aplicativo em telefones do governo.
Outras agências dos EUA e outros governos seguiram o exemplo desde então ou planejam fazê-lo. Durante uma audiência no Senado dos EUA, o general Paul Nakasone, diretor da Agência de Segurança Nacional (NSA), afirmou que”a juventude americana viciada em TikTok está brincando com uma arma carregada”. TikTok em 3 categorias principais:
Os dadosO algoritmoO aplicativo em si
Vamos começar dizendo que todas as categorias acima estão presentes em muitos outros aplicativos de mídia social. O fator diferenciador do TikTok é que ele pertence a uma empresa chinesa chamada Bytedance. São esses laços com a China e o governante Partido Comunista Chinês (PCC) que criaram tanta preocupação entre as nações e suas agências governamentais.
Os dados
Em geral, é seguro dizer que todo aplicativo gratuito de mídia social ganha dinheiro usando e vendendo os dados de grandes grupos de pessoas para fins publicitários. Quanto mais específicos para grupos menores esses dados puderem ser refinados, maior será a preocupação com a privacidade. O TikTok pode ser usado para espionar certos grupos de pessoas? Definitivamente! O TikTok admitiu que os funcionários usaram seus próprio aplicativo para espionar repórteres como parte de uma tentativa de rastrear as fontes dos jornalistas. A empresa demitiu 4 funcionários por isso.
Vimos casos semelhantes em outros aplicativos de mídia social. Por exemplo, funcionário do Twitter condenado a mais de três anos de prisão por espionar para a Arábia Saudita. Com a quantidade de informação prontamente disponível, sempre haverá quem a utilize para seus próprios fins, bons ou ruins.
O algoritmo
Controle de o algoritmo oferece uma oportunidade de ser um influenciador. Por algoritmo, queremos dizer o código no aplicativo que tenta otimizar o tempo que você gasta no aplicativo, mostrando a você vídeos que ele determinou que você pode estar interessado. Saber quais rolos aparecem em seu feed nos diz algo sobre você. No mínimo, ele nos dirá o que você prefere assistir. Seja gatinhos, falhas ou rotinas de dança. O que preocupou Christopher Wray, o diretor do FBI, é a possibilidade de que o PCC possa assumir o controle do algoritmo TikTok para conduzir operações de influência difíceis de detectar contra os americanos. Ao decidir o que você vê, o governo chinês pode influenciar sua opinião sobre os assuntos.
Novamente, nem o algoritmo nem a utilização para influência são exclusivos do TikTok. Atores estatais internacionais estão cada vez mais aproveitando as plataformas de mídia social para espalhar propaganda computacional e desinformação durante momentos críticos da vida pública. No ano passado, discutimos algumas estatísticas fornecidas pelo YouTube sobre sua batalha contra a desinformação.
O aplicativo
A maioria das pessoas instalará o TikTok em seus dispositivos pessoais, especialmente agora que muitas organizações tem ou está considerando banir o aplicativo em dispositivos fornecidos pela empresa. E, até agora, ninguém encontrou nada malicioso no app. Mas como app ele tem acesso, ainda que limitado, a informações do seu aparelho e de outros aparelhos da mesma rede. Esta informação pode ser usada para fins nefastos, mas não há nenhuma prova disso. Outra preocupação é que esse comportamento possa mudar com uma atualização e se a próxima atualização será secretamente maliciosa. Mas isso é verdade para qualquer aplicativo, seja o desenvolvedor que introduz o código malicioso ou seja parte de um ataque à cadeia de suprimentos.
Devo me preocupar?
Os riscos de permitir o TikTok em dispositivos corporativos ou híbridos depende muito do seu modelo de ameaça. Embora seja compreensível que governos, militares ou fornecedores de defesa estejam entre os primeiros a banir o TikTok desses dispositivos, muitas outras organizações estão enfrentando muitas ameaças que são uma preocupação muito maior. Por outro lado, se o aplicativo, ou qualquer outro aplicativo, não for necessário para fins de trabalho, por que você o permitiria em um dispositivo corporativo? Usar o gerenciamento de dispositivos móveis (MDM) pode ajudar bastante a manter os riscos e as distrações longe dos dispositivos corporativos.
Banir o aplicativo de dispositivos pessoais usados em um ambiente de trabalho é uma questão totalmente diferente. A satisfação do seu funcionário pode até ser uma preocupação maior do que o TikTok potencialmente espionando você.
Durante uma recente audiência no Congresso, o CEO da TikTok, Shou Chew, disse que eles estavam fazendo tudo o que podiam para acomodar os EUA:
Nosso compromisso é mover seus dados para os Estados Unidos, para serem armazenados em solo americano por uma empresa americana, supervisionada por pessoal americano. Portanto, o risco seria semelhante a qualquer governo indo a uma empresa americana, pedindo dados.
Acho que podemos concordar com essa última frase. Até que seja fornecida prova de que o TikTok é pior do que outros aplicativos de mídia social, não há motivo convincente para tratá-lo de maneira diferente. Mas todos os aplicativos de mídia social devem ser vistos com reservas quando se trata de privacidade.
Pieter Arntz é pesquisador de ameaças e escritor em Malwarebytes.