Čínská síť TikTok masivně shromažďuje citlivá data 2 milionů Čechů, dokládá analýza

Lukáš Valášek Lukáš Valášek
18. 7. 2022 5:30
Téměř dva miliony Čechů používají sociální síť TikTok ke sledování a zveřejňování zábavných videí. Detailní analýza bezpečnostních expertů dokládá, že čínská aplikace z mobilů ve velkém doluje osobní data uživatelů. Firma tvrdí, že údaje bezpečnostnímu aparátu vládnoucí komunistické strany neposkytne. Čínské zákony jí to ale neumožňují odmítnout.
Ilustrační foto
Ilustrační foto | Foto: Shutterstock

Krátká videa s hudebními motivy, která svým uživatelům umožňuje natočit a sdílet sociální síť TikTok, se stala hitem po celém světě. I v Česku patří k největším sociálním sítím. Počet uživatelů narostl za poslední rok o polovinu a šplhá se ke dvěma milionům. Naprostá většina českých příznivců je mezi dětmi a mladými lidmi do 24 let. Celosvětově má TikTok přes miliardu uživatelů.

Australská kyberbezpečnostní společnost Internet 2.0 zkoumala zdrojové kódy aplikace pro operační systémy Android a iOS. Ty jsou i pro statisíce Čechů branou k čínské sociální síti. Výslednou analýzu má Aktuálně.cz v Česku exkluzivně k dispozici.

Detailní rozbor ukazuje, že používáním aplikace dávají lidé TikToku širší přístup ke svému soukromí než jen k videím, která dobrovolně nahrávají. Program z telefonů získává data, která dle expertů k fungování nepotřebuje - sleduje pohyb telefonu, zná telefonní číslo, má přístup ke kontaktům i ke kalendáři.  

Provozovatel TikToku, čínská společnost ByteDance, čelí v USA dlouhodobému tlaku kvůli obavám ze špionáže. Tamní experti se obávají, že asijská velmoc ovládaná komunistickou stranou data této sociální sítě zneužívá. Severoatlantická aliance označuje Čínu za hrozbu, Evropská unie za systémového rivala.  

Na začátku července varovali v bezprecedentním společném vystoupení šéfové britské tajné služby MI5 a americké FBI, že čínská komunistická strana udělá maximum pro to, aby se zmocnila západního know-how a dosáhla globální dominance. 

ByteDance veškerá obvinění odmítá. Prohlašuje, že západním uživatelům nebezpečí nehrozí, a popírá, že by úřadům komunistického režimu data z TikToku zpřístupňoval.

Přestože kritice za sběr dat pro účinnější cílení inzerce opakovaně čelí i americké giganty Facebook či Google, případ TikToku se liší. Čínské firmy mají ze zákona povinnost s bezpečnostními složkami Pekingu spolupracovat. A režim si umí poslušnost vynutit i u největších hráčů. Majitel obří technologické firmy Alibaba Jack Ma předloni na tři měsíce zmizel poté, co vládu kritizoval.

Před čínskými pokusy shromáždit co nejvíce osobních dat západních prominentů dlouhodobě varuje i šéf české kontrarozvědky BIS Michal Koudelka. Uvádí, že Číňané data často sbírají pro budoucí využití, třeba pro lepší cílení zpravodajských operací nebo možné vydírání. Aktuálně.cz už v roce 2020 analyzovalo uniklý fragment databáze jednoho z čínských armádních dodavatelů, který nabízel profily prominentů k "vedení hybridní války a rozvratu Západu". A v seznamu vedl české politiky, soudce, ale i jejich děti.

Do Číny jdou údaje o pohybu i telefonní seznam

Analýza Internet 2.0 detailně popisuje, jak firma ByteDance doluje data z mobilů uživatelů TikToku, často ještě dětí. Aplikace začne po spuštění mapovat ostatní programy, které na telefonu běží. Minimálně jednou za hodinu pak za pomocí GPS zjišťuje polohu telefonu. Zajímá se i o název připojených wi-fi sítí.

Podobně zjistí sériová čísla telefonu, karty SIM nebo seznam nastavených účtů. Monitoruje obsah schránky používané ke kopírování textu a může tak odhalit hesla k nejrůznějším účtům uložená ve správci hesel. Má přístup ke kalendáři a ke všem položkám, které si v něm uživatel uložil. Pokouší se také dostat ke kontaktům, kde jsou uložené údaje o přátelích či známých uživatele.

Zdrojový kód aplikace TikToku s funkcemi na získávání uživatelských dat.
Zdrojový kód aplikace TikToku s funkcemi na získávání uživatelských dat. | Foto: Internet 2.0

Mobilní operační systémy dnes vyžadují, aby uživatel povolil k jiným částem telefonu aplikaci přístup. Autoři analýzy ale konstatují, že zatímco jiné aplikace se spokojí s tím, že to člověk jednou odmítne, TikTok například v případě kontaktů žádá uživatele o přístup zas a znovu. Dokud mu to nepovolí.

"Aplikace TikTok není výjimečná v množství shromažďovaných informací, které je menší než u mnoha populárních mobilních aplikací. V souladu s oborovými zvyklostmi shromažďujeme informace, které se nám uživatelé rozhodnou poskytnout, a informace, které pomáhají aplikaci fungovat, bezpečně běžet a zlepšovat zážitek uživatele," uvádí k tomu samotná společnost ByteDance.

Vyšetřování západních hlídačů osobních údajů

Australští experti také odhalili, že verze aplikace pro operační systém Applu se z neznámých důvodů připojuje k čínským serverům tamní kyberbezpečnostní firmy. Ta má společnou datovou laboratoř s čínskou univerzitou s vazbami na armádu. TikTok spojení aplikace s Čínou popírá.

"Pro správnou funkci aplikace není většina přistupovaných údajů nezbytná. Fungovat může i bez jejich shromažďování. To nás vede k názoru, že jediným důvodem je sběr dat," uzavírají autoři analýzy Thomas Perkins, David Robinson, Michael Lammbrau a Robert Potter.

Prověřování, zda TikTok splňuje zákony Evropské unie na ochranu osobních dat, spustil loni irský regulátor, který podobně postupuje i proti americkým firmám. Právě v Irsku mají technologické giganty své evropské sídlo. Úřad zkoumá, zda citlivé údaje nekončí v Číně, i to, jak firma nakládá s daty dětí. Varování před možným porušováním zákonů dostal TikTok nedávno i v Itálii. 

Společnost ByteDance prohlašuje, že uživatelům nebezpečí nehrozí. "Jasně jsme uvedli, že TikTok nikdy nesdílel údaje uživatelů s čínskou vládou ani necenzuroval obsah na její žádost," prohlásila už v roce 2020 s tím, že to ani dělat nebude. Reagovala tak na hrozbu tehdejšího amerického prezidenta Donalda Trumpa, že službu v USA zakáže.

Zásahu ze strany západních vlád se TikTok pokouší čelit i budováním datových center na Západě. Deklaruje, že právě v nich osobní údaje evropských a amerických uživatelů schraňuje, i to, že že čínští zaměstnanci jsou od těchto dat izolováni.

Nahrávky prozradily přístup k datům uživatelů

Investigace serveru Buzzfeed zveřejněná v červnu ale ukazuje jiný obraz. Z nahrávek interních porad společnosti odhalila, že pracovníci v Číně opakovaně přistupovali k citlivým osobním údajům amerických uživatelů, k nimž administrátoři měli minimálně v minulosti plný přístup. O víkendu oznámil rezignaci bezpečnostní šéf sociální sítě Roland Cloutier.

Také tvrzení, že TikTok necenzuruje obsah, se ukázalo v konfliktu s fakty. Britský deník Guardian získal v roce 2019 instrukce nařizující administrátorům sítě cenzurovat videa, citlivá pro čínskou vládu. O rok později vysoká manažerka firmy v britském parlamentu přiznala, že TikTok mazal informace například o tyranizování menšiny Ujgurů v Číně. Nyní firma tvrdí, že jde o zastaralé instrukce a cenzuru na přání komunistické strany, která je v Číně běžná, už neprovádí.

Varování ohledně národní bezpečnosti zopakoval před dvěma týdny komisař americké Federální komise pro komunikace Brendan Carr. Veřejným dopisem vyzval šéfy společností Apple a Google, aby TikTok odstranili ze svých mobilních obchodů. Zábavnou aplikaci pro mladé lidi označil za "beránčí roucho" ukrývající nástroj hromadného sledování.

Část západních expertů se také obává, že Čína prostřednictvím aplikace, jejíž doporučující algoritmus řídí, o čem se stamiliony západních uživatelů dozvědí a co budou považovat za důležité, může použít i k manipulaci veřejného mínění a voličů.

"Zatímco v Evropě se podobné shromažďování dat reguluje zákonem, v Číně musí naopak komerční subjekty podle zákonů při sběru citlivých informaci v případě potřeby spolupracovat se státní bezpečností a dalšími zpravodajskými orgány," konstatoval Martin Hála, šéf organizace Sinopsis, která se dlouhodobě věnuje čínskému vlivu.

 

Právě se děje

Další zprávy