O TikTok aparentemente coletou silenciosamente identificadores de dispositivos Android por 15 meses, de acordo com uma reportagem do Wall Street Journal.

A notícia vem em um momento delicado para o TikTok e a ByteDance, sua desenvolvedora, que tem sofrido ameaças do presidente dos Estados Unidos, Donald Trump, de ser banida do país.

De acordo com o WSJ, uma análise de diversas versões do TikTok descobriu que o aplicativo usou uma lacuna técnica para coletar endereços MAC de dispositivos Android durante 15 meses, num período que terminou em novembro de 2019. Aparentemente essa coleta viola a política do Google.

Os endereços MAC são identificadores que geralmente não podem ser alterados em smartphones. A Apple bloqueou o acesso aos endereços MAC em 2013, de acordo com o artigo, e o Google fez o mesmo em 2015.

A análise do WSJ descobriu que o TikTok usou um falha de segurança amplamente conhecida para adquirir endereços MAC no Android sem que os usuários soubessem ou tivessem a possibilidade de apagar esses dados.

O TikTok, em seguida, agregou outros dados como um ID de publicidade, potencialmente violando as políticas do Google que proíbem os aplicativos de conectar IDs de anúncios a qualquer identificador persistente (conhecido como ID bridging) sem o “consentimento explícito do usuário”.

Enquanto os usuários TikTok poderiam redefinir seus identificadores de propaganda por meio das configurações do aplicativo, a posse dos endereços MAC pela ByteDance pode ter feito disso um gesto inútil.

A posse do endereço MAC de um usuário também poderia expor a um rastreamento futuro – o que obviamente não vai cair bem entre as autoridades americanas que alegam que a ByteDance poderia usar o TikTok para espionar os americanos em nome do governo chinês. Nunca foram divulgadas publicamente provas concretas de que a empresa tenha compartilhado informações com Pequim.

A abordagem transacional da administração Trump ao TikTok, incluindo exigências de que a ByteDance venda o aplicativo para uma empresa americana como a Microsoft ou o Twitter e que o Tesouro dos EUA receba uma parte do acordo, sugere que levantar o espectro da espionagem poderia ser parcialmente um pretexto forçar a saída da ByteDance. Embora várias políticas de lojas de aplicativos possam proibir a prática, a coleta de endereços MAC não é exatamente uma invasão no estilo Mr. Robot.

De acordo com a reportagem do WSJ, porém, a ByteDance também usou uma camada personalizada de criptografia para enviar os dados agrupados de volta para seus servidores. Especialistas disseram ao jornal que essas medidas poderiam ser projetadas para evitar que a Apple ou o Google notassem as violações de suas políticas, mas também poderiam ser uma camada adicional de segurança para fins mundanos.

A ByteDance insistiu que nenhum dado de usuário coletado nos EUA é enviado à China, e a explicação simplista sobre o porquê de querer coletar endereços MAC é aumentar seu lucrativo negócio publicitário.

Apesar disso, a ByteDance só parou de coletar esse dado apenas uma semana após os EUA terem supostamente lançado uma análise de segurança nacional contra o TikTok. Parece que alguém rapidamente percebeu que isso não ficaria bem sob escrutínio, independentemente de praticamente todos os outros concorrentes utilizarem práticas de rastreamento obscuras.

Também é possível que a coleta de endereços MAC de usuários mais jovens sem divulgação ou uma função para optar não ter essa informação coletada pudesse causar problemas com a Comissão Federal de Comércio, que aplica a Lei de Proteção à Privacidade Online de Crianças.

O WSJ escreveu que, além dos endereços MAC, o TikTok não parecia coletar “uma quantidade incomum de informações para um aplicativo móvel, e divulgou essa coleta em sua política de privacidade e em pop-ups solicitando o consentimento do usuário durante a instalação”.

Também escreveram que embora o ID bridging seja comum – de acordo com um relatório do AppCensus de 2019, cerca de 70% dos mais de 25.000 aplicativos populares emparelham identificadores de anúncios com pelo menos um identificador persistente, muitos dos quais enviam a informação diretamente para servidores de anúncios – usar a brecha de endereço MAC não é algo tão frequente. Uma análise do AppCensus de 2018 encontrou apenas 347 dos mais de 25.000 aplicativos utilizando esse método.

Joel Reardon, co-fundador do AppCensus e professor assistente da Universidade de Calgary, disse ao WSJ que relatou a brecha ao Google em junho de 2019 e que a empresa já estava ciente disso.

“É uma forma de permitir o rastreamento a longo prazo dos usuários sem qualquer possibilidade de saída”, disse Reardon ao WSJ. “[…] fiquei chocado que [a brecha] ainda pudesse ser explorada.”

“Nós atualizamos constantemente nosso aplicativo para acompanhar a evolução dos desafios de segurança e a versão atual do TikTok não coleta endereços MAC”, disse um porta-voz do TikTok ao Verge. “Sempre incentivamos nossos usuários a baixar a versão mais atual do TikTok.”

[WSJ]