De Britse premier, Rishi Sunak, liet onlangs doorschemeren dat hij de sociale media-applicatie TikTok zou kunnen verbieden op apparaten die door overheidsmedewerkers worden gebruikt.
Zijn opmerkingen volgen op soortgelijke verboden door de Europese Commissie en de Amerikaanse federale overheid. In de gevallen van de EU en de VS werden veiligheidsoverwegingen gebruikt als rechtvaardiging voor een verbod. In tegenstelling tot Facebook of Instagram (beide eigendom van het in de VS gevestigde Meta) is TikTok eigendom van ByteDance, dat in China is gevestigd.
Dergelijke zorgen zijn niet nieuw. In oktober 2022 beschreef de voormalige Amerikaanse minister van Buitenlandse Zaken Mike Pompeo zijn vrees dat China TikTok zou kunnen dwingen om te fungeren als een “Trojaans paard”, waarbij gevoelige gegevens op de apparaten van gebruikers worden benaderd en geëxploiteerd.
TikTok verzamelt, zoals veel sociale media-applicaties, aanzienlijke hoeveelheden gebruikersgegevens, waaronder geboortedata, e-mailadressen en telefoonnummers.
Discussies over privacy in sociale media-applicaties gaan meestal over het buitensporig verzamelen van gegevens waarmee gebruikers instemmen. Het privacybeleid van TikTok zegt dat de app locatiegegevens van gebruikers verzamelt, tot een granulariteit van drie vierkante kilometer. Dit is vrij grof – Instagram, bijvoorbeeld, staat preciezere locatie tracking toe.
Instagram zegt dat dit is voor het personaliseren van advertenties. Maar het risico is dat, indien blootgelegd, locatiegegevens door kwaadwillenden kunnen worden gebruikt om gebruikers te volgen, waardoor gedrag zoals stalking van intieme partners mogelijk wordt. Dit soort locatiegegevens was betrokken bij een vermeende poging van TikTok-werknemers (die vervolgens zouden zijn ontslagen) om de locatie van in de VS gevestigde journalisten te bepalen – in een poging om lekken van binnen het bedrijf op te vangen.
In een e-mail gepubliceerd door Forbes magazine, schreef ByteDance chief executive Rubo Liang dat hij “diep teleurgesteld” was door de episode.
Sommige zorgen betreffen de mogelijkheid om profielen van individuele gebruikers op te stellen.
Shutterstock
Toegang tot gebruikersgegevens stelt bedrijven in staat om profielen op te bouwen voor specifieke gebruikers. De toenemende beschikbaarheid voor het publiek van softwaretools die gebruik maken van machine learning – een soort AI die met ervaring beter wordt in een taak – heeft bij sommige cybersecurity-analisten voor onrust gezorgd.
Deze deskundigen zijn bezorgd over het mogelijke gebruik van deze technologie voor “gerichte phishing-aanvallen”. Bij deze aanvallen ontvangen slachtoffers communicatie, zoals een e-mail, die zich voordoet als een vertrouwde bron, waardoor het slachtoffer wordt aangezet tot oplichting.
Sociale media toepassingen hebben een aanzienlijke kennis van hun gebruikers. Het is dus heel aannemelijk dat het opbouwen van een profiel op basis van gebruikersgegevens gerichte phishing-aanvallen op gevoelige overheidsaccounts mogelijk kan maken. Er is echter geen bewijs dat TikTok voor dit doel is gebruikt.
Industrie normen
ByteDance heeft op de recente verboden gereageerd door te zeggen dat het geen gebruikersgegevens aan de Chinese overheid heeft verstrekt. Het beweert ook dat zijn gegevensverzamelingspraktijken overeenkomen met die van andere sociale mediabedrijven. Een vluchtige vergelijking met het privacybeleid van Instagram ondersteunt dit standpunt: de identificerende informatie die Meta van Facebook en Instagram verzamelt, komt over het algemeen overeen met de informatie die TikTok verzamelt wat betreft apparaatinformatie, sociale media-grafieken en locatie-informatie.
Sommige kritieken op toepassingen zoals TikTok hebben zich toegespitst op de bewering dat zij functioneren als spyware. Het doel van spyware is, in vergelijking met het verzamelen van gegevens, het onttrekken van vertrouwelijke of gevoelige informatie waarvoor gebruikers geen toestemming hebben gegeven. Spyware kan zich bijvoorbeeld richten op informatie die de gebruiker naar het klembord van zijn apparaat heeft gekopieerd.
Algemeen advies is om complexe en unieke wachtwoorden te gebruiken voor elke online account. Mensen die bezorgd zijn over privacy zullen dus vaak wachtwoordmanagers gebruiken zoals LastPass of 1password.
Deze gebruikers zullen echter waarschijnlijk het complexe wachtwoord van hun wachtwoordmanager kopiëren en plakken in de inlogmechanismen van een account. Het extraheren van klembordinformatie stelt kwaadwillenden in staat om wachtwoorden te achterhalen en toegang te krijgen tot gevoelige accounts.
Het risico evalueren
TikTok is een “closed-source applicatie”, wat betekent dat de broncode – de onderliggende instructies – die wordt gebruikt om de applicatie te bouwen, niet beschikbaar is. Er zijn echter pogingen gedaan om de broncode van TikTok te reverse-engineeren. Deze pogingen zijn gebruikt om te bepalen of de app zich gedraagt als spyware, of anderszins gebruikersgegevens verzamelt op manieren die buitensporig zijn.
Een rapport van Citizen Lab Research beschreef de reverse-engineering van een Android-versie van TikTok. De conclusie was: “TikTok… (lijkt) geen openlijk kwaadaardig gedrag te vertonen” zoals dat van spyware. Verder zegt het rapport dat hoewel TikTok een grote verscheidenheid aan apparaatinformatie en informatie over gebruikspatronen verzamelt, “(deze) kenmerken niet uitzonderlijk zijn in vergelijking met de industrienormen”.
Het is redelijk om te concluderen dat Tiktok zelf in dit opzicht niet noodzakelijkerwijs een veel groter risico vormt dan andere sociale media-applicaties in de VS, een conclusie die wordt gedeeld door de Electronic Frontier Foundation.
De recente verboden waren voor ByteDance aanleiding om de privacybescherming voor gebruikers te versterken. Concreet kondigde ByteDance Project Clover aan, waarin strategieën worden geschetst om de Europese gegevensbeveiliging te verbeteren.
Project Clover stelt een zogenaamde Europese Enclave voor, die moet garanderen dat medewerkers van ByteDance geen Europese gebruikersgegevens kunnen inzien of extern overdragen zonder te voldoen aan gegevensbeschermingswetten zoals GDPR. Het zou ook onder toezicht staan van een derde Europees beveiligingsbedrijf – gesprekken tussen ByteDance en deze derde partij zijn momenteel gaande.
Bescherming van de gebruiker
ByteDance heeft ook twee mechanismen voorgesteld voor het anonimiseren van gebruikersgegevens, met als doel ervoor te zorgen dat eventuele kwaadwillenden die toegang zouden willen krijgen tot TikTok-gebruikersgegevens, deze niet zouden kunnen misbruiken voor phishing of andere soorten aanvallen. De eerste benadering is het “pseudonimiseren” van de persoonsgegevens die van gebruikers worden verzameld om te voldoen aan artikel 4, lid 5, van de GDPR. Dit houdt in dat de persoonsgegevens op zodanige wijze worden verwerkt dat zij niet aan specifieke gebruikers kunnen worden gekoppeld zonder het gebruik van aanvullende, externe informatie.
ByteDance zal ook informatie van gebruikers aggregeren in grote datasets, waarbij anonimiteit wordt bereikt door de details te scheiden van het profiel van een bepaalde gebruiker. Het recente TikTok-verbod van de Europese Commissie wijst dus op een groeiende perceptie van bestuursorganen dat TikTok en andere toepassingen de veiligheid en privacy van gebruikers kunnen schaden door gerichte en buitensporige gegevensverzameling.
Hoewel dit ByteDance ertoe heeft aangezet versterkte privacybeschermingen voor te stellen, moeten gebruikers wachten tot deze werkelijkheid worden, en tot deskundigen ze verifiëren. In de tussentijd blijft het aan de gebruikers om hun eigen privacy te beheren en voor zichzelf uit te maken of de risico’s van socialemedia-applicaties zoals TikTok de waarde waard zijn die ze bieden.
Benjamin Dowling werkt niet voor, geeft geen advies, heeft geen aandelen in of ontvangt geen financiering van een bedrijf of organisatie die baat heeft bij dit artikel, en heeft geen relevante banden bekendgemaakt buiten zijn academische aanstelling.
