Para que eu possa pessoalmente avaliar isso. Fiz a engenharia reversa do aplicativo e sinto-me confiante em afirmar que tenho um entendimento muito forte de como o aplicativo opera (ou pelo menos operou há alguns meses).
O TikTok é um serviço de coleta de dados velado como uma rede social. Se existe uma API para obter informações sobre você, seus contatos ou seu dispositivo ... bem, eles a estão usando.
• Hardware do telefone (tipo de CPU, número de curso, IDs de hardware, dimensões da tela, dpi, uso de memória, espaço em disco, etc.)
• Outros aplicativos que você instalou (eu já vi alguns que eu excluí aparecerem na carga de análise) - talvez usando como valor em cache?)
• Tudo relacionado à rede (ip, ip local, roteador mac, seu mac, nome do ponto de acesso wifi)
• Se você está ou não enraizado / jailbroken
• Algumas variantes do aplicativo tinham o ping GPS ativado no momento, aproximadamente uma vez a cada 30 segundos - isso é ativado por padrão se você marcar um local após o IIRC - Eles configuraram um servidor proxy local no seu dispositivo para "transcodificar mídia", mas que pode ser abusado com muita facilidade. tem autenticação zero.
A parte mais assustadora de tudo isso é que grande parte do log que eles fazem é configurável remotamente, e a menos que você reverta todas as bibliotecas nativas (divirta-se lendo todo esse assembly, supondo que você possa superar seus garfo personalizado da OLLVM !!!) e inspecione manualmente todos os unção.
Eles possuem várias proteções diferentes para impedir que você reverta ou depure o aplicativo também. O comportamento do aplicativo muda ligeiramente se eles souberem que você está tentando descobrir o que estão fazendo.
Há também alguns trechos de código na versão Android que permitem o download de um arquivo zip remoto, descompactá-lo e executar o referido binário. Não há razão para que um aplicativo móvel precise dessa funcionalidade legitimamente.
Veja o alerta no Twitter dos Anonymous
Veja quem é os Anonymous
Veja a matéria no UOL da espionagem do TikTok
Nenhum comentário:
Postar um comentário