Varování v souvislosti s aplikací TikTok pro studenty

2023-03-29

Vážené studentky, studenti,

dne 8.3.2023 vydal Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) varování před hrozbou v oblasti kybernetické bezpečnosti spočívající v instalaci a používání aplikace TikTok.

V čem konkrétně tato hrozba spočívá?

Z pohledu kybernetické bezpečnosti se jedná především o to, že TikTok sbírá excesivní množství uživatelských dat, zejména:

• zjišťuje informace o jiných spuštěných a instalovaných aplikacích na vašem zařízení (telefonu, tabletu, notebooku…)
• pravidelně kontroluje lokaci zařízení
• sbírá informace o zařízení včetně Wi-Fi SSID, předchozí konfigurace Wi-Fi, sériového čísla zařízení a SIM karty, ID zařízení, IMEI zařízení, MAC adresy, telefonního čísla, výčtu všech uživatelských účtů používaných na zařízení
• má přístup k vašemu kalendáři, může ho číst i měnit
• má přístup ke kontaktům
• má kompletní přístup ke clipboardu (schránce)
• vynucuje využití vlastního vestavěného prohlížeče www stránek, který může sledovat téměř veškerou aktivitu uživatele
• obsah soukromé komunikace ukládá na servery čínské společnosti ByteDance

Podrobněji:

• přístup ke kontaktům chce aplikace kvůli tomu, aby našla, kdo z vašich přátel také používá TikTok. Je to logický důvod. Ale tím, že to aplikaci povolíte, jí současně zpřístupníte všechny informace v kontaktech uložené. Jména, telefonní čísla, e-mail, adresy bydliště. Máte v kontaktech data narození vašich blízkých? Aplikace se je dozví.
• přístup ke kalendáři je něco podobného - opět aplikace získává přístup k osobním údajům. Sdílíte plánovací kalendář s rodinou? Pak má přístup i k němu.
• vynucené použití prohlížeče www stránek z aplikace - kliknete-li v aplikaci na odkaz, tak se neotevře stránka v systémovém prohlížeči www stránek, ale ve vestavěném v aplikaci. Aplikace pak může sledovat vaše aktivity na stránce, na co klikáte, co píšete.

Všechny sebrané informace mohou být v budoucnu využité proti vám, např. k hodně dobře cílenému phishingu nebo k vydírání.

Zvažte sami tato rizika. Doporučujeme tuto aplikaci nepoužívat a nepřipojovat se ke Studijnímu informačnímu systému univerzity ze zařízení, na kterém je tato aplikace nainstalovaná.

Pokud aplikaci už používáte a chcete ji i přes varování používat dál, tak důrazně doporučujeme:

• nepoužívat vestavěný www prohlížeč na práci se stránkami, na kterých musíte zadávat citlivé údaje (např. přihlašovat se k webmailu, ke Studijnímu informačnímu systému, k Gmailu, k m365 službám, k bankovnictví…)
• nepřihlašovat se k informačním systémům univerzity ze zařízení (telefonu), na kterém je aplikace nainstalovaná

Pokud se přes varování (nebo právě kvůli němu) rozhodnete aplikaci si vyzkoušet a nainstalovat, tak doporučujeme:

• při instalaci aplikace jí povolit jen ta nejnutnější práva, lepší je toho víc zakázat a pak případně povolit, než obráceně, např. nepovolovat přístup ke kalendáři, když nechcete funkce aplikace na tom závislé používat.

Je TikTok jediná aplikace, která chce přístup ke kontaktnům nebo sbírá osobní údaje?

Není. Aplikací, které sbírají osobní údaje, je hodně. Např. je celá řada komunikačních systémů, kde je uživatel identifikovaný svým telefonním číslem a které chtějí při instalaci přístup k vašim kontaktům. Stejně tak jsou aplikace s prohlížečem www stránek. Při používání těchto aplikací doporučujeme stejnou opatrnost a zvážení toho, jaké osobní údaje jim poskytnout.

Čím se tedy aplikace TikTok liší?

1. množstvím sbíraných údajů - sbírá jich opravdu hodně
2. jde o platformu vyvinutou a provozovanou čínskou společnostní ByteDance. Společnost má přístup ke sbíraným údajům a k vaší komunikaci v rámci platformy. Společnost je subjektem spadajícím do působnosti čínské národní legislativy, která ukládá všem čínským občanům a organizacím poměrně velké povinnosti v poskytování informací státním orgánům. Perličkou je povinnost nahlašovat zjištěné bezpečnostní zranitelnosti čínskému Ministerstvu průmyslu a IT a ne zahraničním organizacím a jednotlivcům, kterých se zranitelnost týká - toje dokonce zakázáno. Možnost, že se vaše osobní údaje dostanou mimo společnost a budou k něčemu zneužity, je v takovém prostředí velká.

Proč teď?

Proč bylo varování vydané teď, když přitom TikTok existuje a je populární už delší dobu? NÚKIB se odkazuje na výroční zprávu Bezpečnostní informační služby (BIS) za rok 2021, podle které ČLR představuje rostoucí komplexní zpravodajskou hrozbu.