Ti(c)(k)T*(c)(k)

Sinds mensenheugenis brengt de Belgische televisie het peuterprogramma Tik Tak voort. Net zo lang bestaat ook het snoepje Tic Tac, in dat mooie, doorzichtige doosje (een oom van mij heeft ooit getest hoe vaak hij het klepje daarvan moest openen en sluiten voordat het afbrak; dat liep geloof ik in de duizenden en het fascineerde mij als kind dat een volwassene tijd in zoiets stak – maar dat allemaal terzijde).

En nu is er 抖音.Dat is Chinees en betekent TikTok (met dank aan Wikipedia). Voor de lezers die geen kinderen in de TikTok-gerechtigde leeftijd hebben, zal ik kort uitleggen wat dat is. TikTok is een app in de categorie sociale media, bedoeld om korte video’s – we praten over secondenwerk – te maken en natuurlijk te delen. Vaak wordt er gedanst, gezongen en geplaybackt. Dat laatste levert dan bijvoorbeeld een filmpje op van een tienermeisje dat met de stem van Donald Trump iets doms zegt. Dat soort dingen.

Er is beroering rondom deze app ontstaan. India heeft hem verboden, de VS denken daar ook over na en in Nederland heeft de Autoriteit Persoonsgegevens haar kritische blik op de app laten vallen. Wat is er toch aan de hand? Wel, in India zit het TikTok-verbod in een pakket van tientallen andere apps en gaat het om een vergelding voor een dodelijk gevecht tussen Indiase en Chinese militairen in betwist grensgebied, aldus de Volkskrant. Op nu.nl staat echter een heel ander verhaal: het ministerie van Electronica en Informatietechnologie (dat hebben ze daar!) zou veel bezorgde berichten van burgers hebben ontvangen over de veiligheid van hun gegevens in die apps. De privacyvoorwaarden zouden ernstig rammelen. De Amerikanen zijn sowieso kritisch op Chinese technologie, getuige ook hun afkeer van de 5G-apparatuur van Huawei. Ze zijn bang voor spionage, maar ook bezorgd om de privacy van hun burgers (privacyvrees is in Amerika vaak vooral buitenlandgericht). De minister van Buitenlandse Zaken (zie je wel) zegt dat Amerikanen TikTok alleen moeten gebruiken “if you want your private information in the hands of the Chinese Communist Party” (bron: bbc.com).

Het bezwaar van die landen ligt dus op het gebied van privacy, maar er zit ongetwijfeld ook een vleugje powerplay aan vast. Bij ons kijkt de Autoriteit Persoonsgegevens naar de app, je mag verwachten dat die zich alleen met het eerste aspect bezighouden. Wat zeggen zij? Op hun website staat: ‘We zien dat ontzettend veel Nederlandse kinderen met veel plezier gebruik maken van TikTok. We doen onderzoek naar de vraag of deze app privacyvriendelijk is ontworpen en ingericht.' Daarnaast kijken we of de informatie die kinderen van TikTok krijgen bij het installeren en gebruiken van de app goed te begrijpen is en of er voldoende uitleg is over hoe TikTok hun persoonsgegevens verzamelt, verwerkt en verder gebruikt. Tot slot onderzoeken we of toestemming van ouders vereist is wanneer TikTok persoonsgegevens van kinderen verzamelt, opslaat en verder gebruikt.’ Er staat niet bij wat de aanleiding voor het onderzoek is, maar ze lezen daar natuurlijk ook de krant. “Later dit jaar” presenteert de AP “de eerste resultaten” van het onderzoek.

Behalve dat de critici vrezen voor een gegevensstroom richting China, hoor je ook dat de app om veel te ruime bevoegdheden op je smartphone zou vragen (waardoor de app nóg meer gegevens naar huis kan sturen). Laten we eens een kijkje nemen op Google Play. Daar staan de toegangsrechten van de app keurig opgesomd. Eerst maar de voor een dergelijke app voor de hand liggende rechten: opslag, microfoon, foto's/media/bestanden, contactpersonen (’t is een social media-app hè). En verder: apparaat- en app-geschiedenis (welke apps er draaien), identiteit (accounts toevoegen of verwijderen), informatie over wifi-verbinding, , camera, overig. Opvallende afwezige: locatie. Die had ik hier eigenlijk wel verwacht – niet omdat het nodig is voor de functionaliteit voor de app, maar omdat app-ontwikkelaars deze machtiging vaak ‘gewoon’ vragen en het voor de hand ligt dat een van spionage betichte app wil weten waar je bent. Er blijven echter voldoende spionagemogelijkheden over: opslag betekent dat ze alle bestanden kunnen lezen, met de microfoon en camera kunnen ze naar je luisteren en kijken (ook stiekem, als de app zo gemaakt is), je contactpersonen zijn altijd interessant en je wifi-verbinding zegt ook iets over je locatie. Onder ‘overig’ zitten nog zestien afzonderlijke machtigingen verborgen, waaronder run at startup (de app start automatisch als de telefoon wordt aangezet).

Ik heb, ter vergelijking, ook even naar de rechten van de Facebook-app gekeken. Die kan zo’n beetje alles wat TikTok ook kan en kijkt daarnaast in je agenda, weet waar je bent, kan telefoneren en heeft controle over je NFC-chip (waarmee je kunt pinnen). Zeg het maar, wil je door de hond of door de kat gebeten worden? Ik wil niet een bepaalde app zwart maken, maar ik zie wel graag dat je bewuste keuzes maakt. Overigens schijnen er ook volwassenen te zijn die dergelijke apps gebruiken. Niks mis mee, maar vraag jezelf wel indringend af of je zoiets op je zakelijke telefoon moet willen hebben. Hint: ik zou het niet doen.

Voor de meer politiek getinte bezwaren geldt natuurlijk: zoals het klokje thuis ti(c)(k)t, t*(c)(k)t het nergens.

Dit is de laatste Security (b)log voor de zomervakantie. In september pak ik de draad weer op.

En in de grote boze buitenwereld …

... deelt Apple gratis iPhones uit. Aan beveiligingsonderzoekers, onder strenge voorwaarden.
https://www.grahamcluley.com/free-iphone-apple-bug-hunters/

... beschuldigt Amerika China van grootschalige diefstal van geheimen. Niet zomaar in het wilde weg, maar via een aanklacht jegens twee statelijke hackers.
https://arstechnica.com/tech-policy/2020/07/doj-accuses-chinese-hackers-of-trying-to-steal-covid-19-research-data/

... konden Twitterhackers dus inderdaad privéberichten van Geert Wilders inzien. Maar daar ging het waarschijnlijk helemaal niet om, en ook niet om die paar bitcoins die ze aan de hack hebben verdiend.
https://www.volkskrant.nl/nieuws-achtergrond/twitterhackers-hadden-toegang-tot-de-priveberichten-van-geert-wilders~b26ba4b3/

... hadden duizenden medewerkers van Twitter mogelijkheden om bovenstaande hack te faciliteren.
https://www.security.nl/posting/665535/Reuters%3A+duizend+Twittermedewerkers+konden+accountinstellingen+aanpassen

... hoeft Europa niet wakker te liggen van de Amerikaanse CLOUD Act.
https://blog.iusmentis.com/2020/07/23/hoe-problematisch-is-de-cloud-act-nu-echt/

... testte de New York Times diverse VPN’s. Het artikel geeft ook uitgebreide uitleg over dergelijke diensten.
https://www.nytimes.com/wirecutter/reviews/best-vpn-service/

... heeft het NCSC de Factsheet Risicobeheersing voor topmanagers en CISO’s uitgebracht.
https://www.ncsc.nl/documenten/publicaties/2020/juli/21/factsheet-risicobeheersing

... is het niet zo vanzelfsprekend dat je bij een reservering in een restaurant je naam opgeeft op basis van de corona-verplichting om te reserveren.
https://www.security.nl/posting/665291/Valt+het+momenteel+verplicht+reserveren+voor+horeca+etc_+ook+onder+de+AVG%3F

... biedt een digitale handtekening onder een PDF-document even geen zekerheid omtrent de inhoud
https://www.security.nl/posting/665445/Onderzoekers+manipuleren+inhoud+van+gesigneerde+pdf-documenten