טיקטוק אוספת מידע ביומטרי - האם למטרות ריגול?

משתמשים ברשת החברתית בארה"ב נדרשים להסכים למעקב הכולל זיהוי פנים וקול. על פי המדיניות, מטרת איסוף המידע על ידי האפליקציה, היא לאפשר "אפקטים מיוחדים של וידאו". אז עד כמה הממשל הסיני מתערב באופן אקטיבי?

  • טיקטוק
ד"ר הראל מנשרי
(צילום: ShutterStock)

בתחילת יוני 2021 עדכנה טיקטוק את מדיניות הפרטיות בארה"ב והודיעה למשתמשים כי היא "עשויה לאסוף מזהים ביומטריים ומידע ביומטרי על המשתמשים שלה". בין היתר, האפליקציה תאסוף נתונים הכוללים תווי פנים וחתימות קול.

העדכון פורסם כשבוע לפני שנשיא ארה"ב ג'ו ביידן ביטל את הוראת ממשל טראמפ מקיץ 2020, לחסום את פעולות האפליקציה (השייכת לחברה הסינית בייטדאנס - ByteDance) בארה"ב, כמו גם אפליקציות אחרות בבעלות סינית דוגמת WeChat.

למעשה, קובעת מדיניות הפרטיות, כי האפליקציה תבקש הסכמה ברורה ממשתמשים לפני איסוף מידע זה, רק כאשר החוק דורש ממנה מפורשות לעשות זאת. במשתמע, מפתחי טיקטוק עשויים לחשוב שהסכמה לתנאי השירות שלה מהווה את כל ההסכמה הנחוצה לה.

התנאים החדשים אינם תופסים בהכרח בכל מקום בעולם, אלא רק באותן מדינות בהן החקיקה מאפשרת זאת. כך לדוגמה, החקיקה הקיימת באזור הכלכלי האירופי (EEA), בבריטניה ובשוויץ מחייבת את טיקטוק לבקש את אישור המשתמשים במפורש. אבל מי קורא את הסכם המשתמש הסופי?

טוב לדעת (מקודם)

הטיפול הטבעי שמנצח את כאבי הגב - בלי לצאת מהבית

לכתבה המלאה
ביידן ביטל את הוראת ממשל טראמפ מקיץ 2020. טיקטוק (צילום: וואלה! טכנולוגיה, ינון בן שושן)

על פי המדיניות, מטרת איסוף המידע על ידי האפליקציה, היא לאפשר "אפקטים מיוחדים של וידאו, לניהול תוכן, לסיווג דמוגרפי, להמלצות תוכן ומודעות ולפעולות אחרות".

עוד טרם ההצהרה החדשה של טיקטוק, תנאי השימוש ומדיניות הפרטיות של האפליקציה מתארים כיצד נאספים נתונים על ידי המשתמשים והמכשירים שלהם, כולל תוכן ותקשורת של משתמשים, כתובת IP, נתונים מבוססי מיקום, מזהי מכשירים, קובצי Cookie, מטא נתונים ומידע רגיש אחר.

כאשר המשתמשים מעלים סרטון בו רואים את תנועות גופם, תנועת השפתיים, הקול - ניתן לדעת היכן הם נמצאים - האפליקציה מאפשרת הוצאת מידע מהודעות שנשלחות בתוך האפליקציה, מטא נתונים, נתוני מיקום על נקודת הציון בה צולם הסרטון, מידע על המכשיר ועוגיות (נתונים במכשיר של המשתמש המאפשרים פרסום ממוקד).

במשתמע, טיקטוק מהווה פלטפורמה להוצאת מידע - פלטפורמה עוצמתית לריגול, והיא אף עשויה לשמש להפצת מידע כוזב, בכלל זה, "דיפ פייק" (כולל זיוף מדויק של קול מסונתז ווידאו).

יצוין, כי לפי פרסומים שונים מהשנתיים האחרונות, מצנזרת טיקטוק מידע העוסק בנושאים רגישים מבחינת המשטר הסיני, בכלל זה פעולות המחאה בהונג קונג או היחס של הממשלה הסינית למיעוט האויגורי המוסלמי בחבל שינג'יאנג.

מחקר של מכון החשיבה האמריקאי פיטרסון לכלכלה בינלאומית תיאר בינואר 2019 את טיקטוק כ"בעיה בגודל של Huawei", המהווה איום ביטחוני לאומי על המערב, וציין את הפופולריות של האפליקציה בקרב משתמשים מערביים, כולל אנשי צבא, ויכולתה להעביר מידע על מיקום, תמונה וביומטריה לחברת האם הסינית שלה, שאינה יכולה מבחינה משפטית לסרב לחלוק נתונים עם ממשלת סין. פיטרסון גם הביע חששות כי טיקטוק יכולה לשמש "מניפולציה של דעת הקהל".

"בעיה בגודל של Huawei (צילום: רויטרס)

צבא ארה"ב אסר על חייליו להשתמש בטיקטוק

בנובמבר 2019 נחסמה צעירה אמריקאית בשם פרוזה עזיז מהאפליקציה אחרי שמתחה ביקורת על רדיפת האויגורים בסין. חשבונה של עזיז הוסר על ידי החברה בעקבות לכך שהעלתה שלושה סרטונים שמטרתם הייתה לעורר מודעות למחנות המעצר ההמוניים של האויגורים בסין.

בדצמבר 2019 זיהתה חברת צ'ק פוינט חולשות שאפשרו לתוקפים לשלוח הודעה עם קישור זדוני מתוך מערכת משלוח ההודעות של האפליקציה, ברגע שמשתמשים לחצו על הקישור, לתוקפים התאפשר למחוק סרטונים שהעלו, להעלות בשמם סרטונים חדשים, להפוך סרטונים פרטיים לציבוריים ועוד. טיקטוק הודיעה כי תיקנה את החולשות הללו.

לאחר שנחתם הצו נגדה באוגוסט 2020, פרסם הוול סטריט ג'ורנל תחקיר שלפיו טיקטוק אספה את כתובות ה-Media Access Control הייחודיות של משתמשי האפליקציה במכשירי אנדרואיד של גוגל, תוך עקיפת אמצעי האבטחה הקיימים במערכת ההפעלה ובניגוד למדיניות גוגל.

ראוי להזכיר, כי סין היא דיקטטורה המקיימת ניטור ומעקב אחר כל אזרח, מתוך כוונה לשמור על המשטר. בסין אין פעילות שהיא פרטית לחלוטין. חברות סיניות רבות מוגדרות כפרטיות, אבל לכל אחת מהן יש שותף שאינו סמוי - המשטר, שהוא ריכוזי מאוד ומוטיב עיקרי בפעילותו הוא שימור השלטון, המפלגה הקומוניסטית, המשך הצמיחה הכלכלית, הסדר והיציבות הפנימית של סין. לשם כך מופעלות בין היתר צנזורה ואכיפה קשוחה של חקיקה דיקטטורית.

לפיכך, גם פעילות מסחרית מחייבת אישור כי היא בהתאם ל"רוח המשטר" ותורמת לצרכיו (חלק מהפעילות מתבצעת עבור המשטר). הממשל הסיני מתערב באופן אקטיבי בפעילותן של החברות הסיניות המתמודדות על חוזים אסטרטגיים. כך למשל, במאמץ לזכות במכרז, מוזגו שתי יצרניות רכבות סיניות, אשר התמודדו בנפרד על חוזים בישראל, במטרה "לשפר את כושר התחרות של סין על חוזים בינ"ל". קיים מידע רב המצביע על פעילות תאגידים סיניים מוכרים עבור ומטעם גורמי הממשל הסיני.

הפעילות הסינית במהותה מוכוונת ע"י צרכים כלכליים ומסחריים, ומנהיגיה משכילים לנצל חולשות בשווקים ובמדינות בעולם, במטרה להשתלט עליהם ולקשור אותם באופן תלותי לסין, תוך הפעלת תכניות פעולה מורכבות וארוכות טווח, אשר מוצאות לפועל באופן דייקני, לעתים תוך שימוש במניפולציות שונות.

לדברי ראש FBI Christopher Wray, סין מעורבת בקמפיינים נרחבים של ריגול סייבר וגניבת קניין רוחני וסודות טכנולוגיים ומסחריים, הכוללים מתן שוחד וסחיטה של גורמים אמריקאיים ומערביים אחרים, במטרה לעקוף את ארה"ב ולהפוך למעצמה הטכנולוגית הגדולה בעולם.

כמו כן, סין משתמשת ברשתות החברתיות במטרה לזהות אזרחים אמריקאים עם גישה למידע רגיש, שהופכים לאחר מכן למטרות למתקפות סייבר. בנוסף, מעורבת סין במבצעי השפעה והפצת תעמולה שמטרתם להשפיע על מקבלי החלטות ולהטות את דעת הקהל בארה"ב לטובתה.

ד"ר הראל מנשרי הוא ראש תחום סייבר במכון הטכנולוגי חולון HIT, ממקימי מערך הסייבר בשב"כ

טרם התפרסמו תגובות

הוסף תגובה חדשה

בשליחת תגובה אני מסכים/ה
    walla_ssr_page_has_been_loaded_successfully