TikTok online privacy uitgelegd graphic

Privacyrisico’s van TikTok – Waarom deze invasieve app zo’n risico vormt

Laatst bijgewerkt: 16 juli 2020
Leestijd: 12 minuten, 37 seconden

TikTok is een Chinese app van techbedrijf ByteDance, waarop gebruikers korte video’s kunnen maken en delen. Het doet denken aan Vine, een vergelijkbaar deelplatform voor video’s dat enkele jaren geleden populair was maar nu niet meer bestaat. TikTok is razendpopulair, en bovendien is het de eerste Chinese social media-app die in het in de westerse wereld zo goed doet. Toch blijkt er uit recentelijk onderzoek van alles mis te zijn met de veiligheid van de app.

Verscheidene instanties en nieuwsoutlets trekken inmiddels aan de bel en berichten over de problematiek. ByteDance claimt zich los te willen trekken van zijn Chinese achtergrond om een wereldwijd publiek te kunnen dienen en zegt onder meer nooit data te zullen delen met de Chinese regering. Deze claim lijkt onhoudbaar, zeker nu de nieuwe veiligheidswet in Hong Kong van kracht is.

De Autoriteit Persoonsgegevens stelde eerder al een onderzoek in naar TikTok, omdat vooral kwetsbare groepen, zoals kinderen en jongeren, gebruikmaken van de app. In december 2019 werd het verboden voor Amerikaanse militairen om TikTok te gebruiken, omdat de app een ‘cyber threat’ zou zijn. Ook de privacywaakhond van de EU besloot een kijkje te nemen naar het privacybeleid van TikTok, en zelfs de CEO van Reddit veroordeelde de praktijken van TikTok met harde bewoording.

VPNGids nam TikTok onder de loep en includeerde in haar analyse de meest recente berichtgeving en onderzoeken over de app. De bevindingen zijn uiterst verontrustend. Welke privacy- en veiligheidsrisico’s kenmerken TikTok nu precies, en wat kun je doen om deze zo veel mogelijk te beperken?

TikTok en de invloed van de Chinese regering

TikTok is eigendom van de Chinese ontwikkelaar ByteDance. Om die reden gaan er uiteraard vragen op over de rol die de Chinese regering speelt achter de schermen bij het bedrijf, net zoals Huawei de laatste jaren onder een vergrootglas is komen te liggen. In het Chinese politieke systeem heeft de regering meer invloed bij (technologie)bedrijven dan in westerse landen het geval is. Het risico daarbij is dat de Chinese regering data van gebruikers zou kunnen verzamelen (en dat hoogstwaarschijnlijk ook doet).

Hierin staat de Chinese regering niet alleen, ook westerse regeringen trachten inzicht te krijgen in en invloed uit te oefenen op social media platformen. Onder meer de Amerikaanse regering probeert met enige regelmaat data te verkrijgen via techbedrijven, maar doordat de VS een rechtsstaat is zijn er enkele safeguards en wetten van kracht om de invloed van de regering enigszins in te perken. In de westerse wereld zijn er onafhankelijke privacywaakhonden, terwijl daar in China eigenlijk geen sprake van is.

Hackersgroepering Anonymous claimt dat TikTok in de eerste plaats is ontwikkeld als spyware voor de Chinese overheid. Zie onderstaande tweet:

Anonymous tweer over TikTok

Daarnaast publiceerde Anonymous vorige week een video waarbij de bezwaren omtrent TikTok worden opgesomd. Ze citeren een bron die uitgebreid onderzoek naar TikTok heeft gedaan: “Calling it an advertising platform is an understatement. TikTok is essentially malware that is targeting children. Don’t use TikTok. Don’t let your friends and family use it. Delete TikTok now […] If you know someone that is using it, explain to them that it is essentialy malware operated by the Chinese government running a massive spying operation.

Het zijn geluiden die passen in het totaalplaatje wat er recentelijk van TikTok geschetst wordt. Zo lieten onderzoekers van Apple onlangs weten dat TikTok gebruikers bewust bespioneert.

Er zijn steeds meer aanwijzingen dat TikTok een erg invasieve applicatie is die een substantieel privacy-risico vormt, en dat de datavergaring bij TikTok veel verder gaat dan bij bijvoorbeeld Facebook of Instagram. En dat terwijl Facebook en Instagram al bedrijven zijn die behoorlijk onder vuur hebben gelegen voor de manier waarop ze met privacy van gebruikers omgaan de afgelopen jaren. TikTok lijkt op veel grotere schaal data te vergaren dan andere social media platformen dat doen, en het is vrij plausibel dat de Chinese overheid inzicht heeft in de verzamelde gegevens. En dat zijn er veel.

Browsertrackers en datacollectie

Onderzoek van een Duitse dataprotectiewebsite toont bijvoorbeeld aan dat TikTok onder meer browsertrackers installeert die je activiteiten op internet volgen. Volgens ByteDance bestaan deze trackers om “kwaadaardig browsergedrag” te herkennen en te voorkomen. Het komt erop neer dat TikTok fingerprinting-technieken gebruikt, die gebruikers een uniek ID geven. Zo kan TikTok dus heel gericht data koppelen aan gebruikersprofielen.

Helaas gebeurt dit met grote (intentionele?) laksheid als het op privacy aankomt. De Duitse onderzoekers geven bijvoorbeeld aan dat IP-adressen niet geanonimiseerd worden bij het gebruik van Google Analytics door TikTok, waardoor je online gedrag wordt gekoppeld aan je IP-adres. Een IP-adres geeft informatie prijs over je locatie en indirect over je identiteit.

Daarbij is de onderbouwing van TikTok waarom dergelijke informatie verzameld wordt ondermaats. Wat bedoelt het bedrijf met ‘kwaadaardig browsergedrag’, en wat gebeurt er met de data die via de trackers verzameld wordt? Bovendien, wat heeft TikTok überhaupt te zoeken in je browser aangezien de app buiten de browser om werkt, en wat doet het bedrijf met je IP-adres?

Spyware vermomd als sociale app

Bovenstaande activiteiten zijn op zijn minst twijfelachtig te noemen. Er gaan stemmen op vanuit online techcommunities op onder meer Reddit dat TikTok moedwillig gebruikersdata verzamelt, en dat de app in principe een datastealer is, vermomd als een sociaal medium.

Een gebruiker op Reddit vertelt dat zij/hij via reverse engineering heeft ontdekt dat TikTok informatie verzamelt op meerdere gebieden:

  • De hardware van je smartphone (type CPU, hardware-ID’s, schermafmetingen, dpi, geheugengebruik, opslagruimte, etc);
  • Andere geïnstalleerde apps op je device;
  • Netwerkinformatie (IP, lokale IP, MAC-adres van je router, MAC-adres van je device, de naam van je WiFi-netwerk);
  • Of je device rooted/jailbroken is;
  • Bepaalde versies van TikTok verzamelden locatiegegevens, wat standaard aan staat als je een post op TikTok een locatietag geeft;
  • De app creëert een lokale proxyserver op je device, officieel voor “transcoding media”. Dit gebeurt echter zonder enige vorm van authenticatie, waardoor misbruik makkelijk is.

Het bijhouden van die informatie kan bovendien op afstand geconfigureerd worden. Daar komt nog eens bij dat er tot voor kort geen HTTPS-protocol werd gebruikt, waardoor gegevens van gebruikers al in de eerste plaats helemaal niet veilig waren.

Het feit dat meerdere bronnen onafhankelijk van elkaar stellen dat TikTok eigenlijk niets meer is dan spyware met het label “social media” is voor ons reden om het gebruik van deze app op dit moment expliciet af te raden. Later dit jaar komt de Autoriteit Persoonsgegevens met een officieel onderzoek naar TikTok, al laat dit mogelijk dus nog even op zich wachten.

Privacybeleid TikTok faciliteert massale gegevensuitwisseling met overheden en andere bedrijven

In principe geeft TikTok in zijn privacystatement aan welke informatie het verzamelt over gebruikers. Het privacybeleid waar je terecht komt na één klik in de instellingen geeft slechts een samenvatting van de volledige informatie. Bij iedere sectie is er dan weer een optie om door te klikken naar completere uitleg in hetzelfde document.

Bij nadere inspectie van de privacy policy van TikTok, kan je concluderen dat het bedrijf achter de app in principe alle gebruikersdata kan overhandigen aan zowel commerciële partijen als overheden. “We will share your information with law enforcement agencies, public authorities or other organisations if legally required to do so, or if such use is reasonably necessary to comply with legal obligation, process or request”.

Hier stuiten we op een verschil tussen het Chinese regime en landen als het onze. “If legally required to do so” kan in China niet minder betekenen als “zodra de overheid erom vraagt”. Daarnaast kan via een schijnconstructie zo een bedrijfsentiteit opgetuigd worden waar TikTok zaken mee doet, waarbij de privacy policy het toestaat alle gebruikersdata te overhandigen aan of inzichtelijk te maken voor het desbetreffende bedrijf. Zie hieronder enkele passages uit het privacybeleid van TikTok, waaruit blijkt dat er weinig voor nodig is om jouw gegevens te delen met een derde partij.

Privacybeleid TikTok Law enforcement request

Privacybeleid TikTok verkoop of acquisitie

Ook zinsnedes als “we will share your information (…) based on our legitimate business interests” bieden volgens critici te veel ruimte voor privacyinbreuk.

We vroegen onderzoeksjournaliste en schrijfster Maria Genova naar haar visie op TikTok. Volgens Genova is TikTok inderdaad een bijzonder goede tool voor massa-spionage. Genova vertelt: “Niet voor niets hebben diverse landen het verboden. Het is ongelooflijk hoeveel informatie zo’n app uit je telefoon trekt. (…) als het zo massaal gedownload is zoals in Nederland, kun je zowat de hele bevolking observeren en conclusies trekken.”

De schrijfster is goed op de hoogte van de laatste misstanden rondom dergelijke apps, en schrijft hier ook over in haar nieuwe boek. “Ik schrijf nu een vervolg op ‘Komt een vrouw bij de h@cker’ met grote aandacht voor kwaadaardige apps en je wilt niet weten hoe vaak het gebeurt dat een app tussentijds de voorwaarden verandert zonder dat iemand het doorheeft. Google verwijdert ongeveer 1 miljoen kwaadaardige apps per jaar en dat zijn allemaal apps die officieel te downloaden waren via de Google Play Store. Een app kan je volledige telefoon inclusief alle contacten overnemen, zonder dat je het doorhebt,” aldus Genova.

TikTok groeit extreem snel

Het is tegen het licht van bovenstaande informatie zorgwekkend hoe hard TikTok groeit op dit moment. Alleen al in de VS is het aantal gebruikers voor eind 2020 geprojecteerd op 45,4 miljoen. Wereldwijd ligt de schatting zelfs op 800 miljoen TikTok-gebruikers aan het einde van dit jaar. De verwachting is dat het aantal gebruikers ook de komende jaren blijft toenemen.

Uit onderstaande projecties van Statista valt de geprojecteerde groei tot 2024 in de Verenigde Staten op te maken.

Grafiek met de voorspelde groei in aantal actieve gebruikers van TikTok in de Verenigde Staten

Bron: Statista

Het zoekgedrag van Google-gebruikers laat ook zien dat er een groeiende interesse is in TikTok sinds de oprichting, met wat pieken in 2019. Zie hieronder een visuele weergave uit Google Trends, waarin de wereldwijde interesse in TikTok staat geïllustreerd gebaseerd op het aantal searches in Google.

TikTok grafiek zoekvolume Google

De piek in zoekinteresse in september 2019 zou verklaard kunnen worden doordat uit onderzoek toen bleek dat er op grote schaal censuur ten faveure van de Chinese regering plaatsvond op TikTok. De protesten in Hongkong werden toen zwaar gecensureerd op het medium, waarschijnlijk in een poging de demonstranten geen podium te geven. Dit werd later nog bevestigd door The Guardian.

Gevestigde platformen als Facebook en Instagram hebben hedendaags meer zoekvolume dan TikTok, maar de zoekvolumes voor die platformen nemen niet langer toe of nemen zelfs af. TikTok groeit intussen flink door. Als TikTok echt een substantieel privacyrisico vormt, en daar lijkt het wel op, dan is het wijdverspreide gebruik van de app een grote bron van zorgen.

Privacy-opties TikTok

Hoe ervaren gebruikers TikTok en welke informatie delen zij bewust met de app? Wanneer gebruikers TikTok activeren, dienen zij een account aan te maken om alle functionaliteiten te unlocken. De default optie hierbij is om je telefoonnummer te gebruiken om je account te registreren. Daarnaast is er mogelijkheid om een e-mailadres te gebruiken, hetgeen een iets veiligere optie is met het oog op privacy zolang er voor een tactisch emailadres gekozen wordt.

Ook voor gepersonaliseerde advertenties wordt er alleen een grote knop met “accepteren” getoond. Als je geen gepersonaliseerde ads wil, moet je het aanpassen in je instellingen, wat dus meer moeite kost. In de praktijk zullen veel gebruikers die moeite niet nemen. Als klap op de vuurpijl is de knop standaard uitgeschakeld in je instellingen, waardoor je verleid wordt om hem aan te zetten, terwijl het lijkt alsof je hem uitzet. Op die manier zullen veel mensen dus simpelweg zonder veel blikken of blozen hun data laten gebruiken voor gepersonaliseerde ads.

Weinig instellingen te wijzigen

Als je eenmaal een account hebt aangemaakt, kun je je privacyinstellingen bekijken. In principe zijn er twee instellingen die je aan- of uit kunt zetten. Er is de hierboven beschreven instelling m.b.t. advertentievoorkeuren, maar ook een setting waar je de interactie met andere gebruikers kunt regelen.

Bij het downloaden van TikTok ga je automatisch akkoord met de privacy policy zodra je de app downloadt, installeert en gebruikt. In dat privacybeleid is te lezen welke informatie TikTok verzamelt over zijn gebruikers zonder dat je daar een keuze in hebt. Dit komt neer op:

  • De informatie die gebruikers geven voor het maken van een account.
  • De informatie over je gebruik van de app. Dit betekent dus onder andere welke video’s je bekijkt en met welke andere gebruikers er interactie plaatsvindt.
  • Als je een account maakt via Facebook, Google of Twitter, verzamelt TikTok ook vanuit die platformen informatie.

Het blijft onduidelijk waar de verzamelde informatie naartoe gaat, waarvoor deze gebruikt wordt en wie precies wel of geen toegang heeft tot die informatie. Het privacybeleid houdt het op verklaringen als “het verbeteren van de gebruikerservaring” en meer weinig informatieve bewoordingen.

Toegang tot camera en microfoon

TikTok heeft toegang nodig tot je camera en je microfoon. Dit lijkt misschien logisch, aangezien we het hier over een video-app hebben. Er wordt echter nergens gespecificeerd waarvoor deze permissies in praktijk concreet voor gebruikt worden. In theorie is het dus mogelijk dat de microfoon gesprekken en geluiden opneemt, ook als dit voor het gebruik van de app op dat moment niet nodig is.

Dit soort praktijken zijn dan ook al eerder aan het licht gekomen bij andere techbedrijven. In het geval van Apple bleek het zo te zijn dat Siri, de speech assistent van onder meer de iPhone en iPad, gesprekken bleef opnemen terwijl dat eigenlijk niet de bedoeling was. Hierbij was de oorzaak dat woorden als “serieus” of “serie” geïnterpreteerd kunnen worden als “Siri”. Een op het oog onschuldige vergissing, maar wel één die kan leiden tot het lekken van uiterst gevoelige gesprekken en gegevens.

Of het nu spraakopnames, locatiegegevens of identiteitsgegevens betreft: hoe meer ruimte en onduidelijkheden het privacystatement bevat, hoe groter de mogelijkheden en mogelijk ook kans op privacyinbreuk.

Ook de community van TikTok vormt een probleem

Bureau Jeugd en MediaNaast de bovengenoemde problemen omtrent TikTok, is er ook dreiging vanuit andere hoek. Er zitten honderden miljoenen gebruikers op TikTok, en niet elke gebruiker heeft goede bedoelingen. Gecombineerd met het feit dat er vooral veel kinderen actief zijn op de app, brengt dit additionele gevaren met zich mee. Denk daarbij onder meer aan online pesten en intimidatie.

Justine Pardoen van Bureau Jeugd en Media benoemt daarnaast het risico op grooming. Grooming is een vorm van digitaal kinderlokken, waarbij een volwassene middels digitale middelen contact legt met een kind, met de intentie om dat kind te ontmoeten. Dit resulteert doorgaans in seksueel misbruik of kinderpornografisch beeldmateriaal.

Tot slot zijn er ook nog de nodige fraudeurs en oplichters actief op TikTok, waardoor er onder meer het risico op identiteitsfraude bestaat. Bureau Jeugd en Media publiceerde een handig overzicht met tips voor ouders, alsmede een gids over het verwijderen van een TikTok-account. Ouders die zelf online een vraag aan een pedagogisch deskundige willen stellen, kunnen terecht op mediaopvoeding.nl.

Conclusie redactie VPNGids over TikTok

Vanuit VPNGids kijken we uit naar het onderzoek van de Autoriteit Persoonsgegevens, dat later dit jaar verschijnt. Onze redactie downloadt en gebruikt regelmatig populaire applicaties om deze zelf te testen op het gebied van veiligheid en privacy. Zo hebben we bijvoorbeeld ook Grindr en Tinder getest. De huidige bevindingen zijn voor onze redactie genoeg reden om TikTok van onze apparaten te verwijderen. Of de voornaamste doelgroep van TikTok, jongeren tussen de 14 en 25, gevoelig is voor de privacybezwaren die omtrent TikTok aan het licht gekomen zijn, blijft de vraag.

Hoofdauteur
Techredacteur
Auteur
Cybersecurity analist

Meer artikelen uit het ‘Social Media’ dossier

Reacties
Plaats een reactie
Een reactie plaatsen