NÚKIB varuje: Aplikace TikTok představuje bezpečnostní hrozbu

Hrozba se netýká soukromých uživatelů, ale týká se zařízení přistupujících k informačním a komunikačním systémům kritické informační infrastruktury, informačním systémům základní služby a významným informačním systémům.

Ovšem současně také NÚKIB doporučujeme široké veřejnosti zvážit použití této aplikace a zejména to, co prostřednictvím ní sdílí. U tzv. zájmových osob, tedy osob, které jsou například ve vysokých politických, veřejných či rozhodovacích funkcích, doporučujeme aplikaci vůbec nepoužívat.

Důvody varování

K vydání tohoto varování vedla NÚKIB kombinace vlastních poznatků a zjištění spolu s informacemi od partnerů. Obava z možných bezpečnostních hrozeb vyplývá především z množství shromažďovaných dat o uživatelích a způsobu, jakým jsou sbírána, nakládání s nimi a v neposlední řadě také z právního a politického prostředí Čínské lidové republiky, jejímuž právnímu prostředí je podřízena společnost ByteDance, která vyvinula a provozuje sociální platformu TikTok. Varování je pro povinné osoby dle zákona o kybernetické bezpečnosti účinné od okamžiku vyvěšení na úřední desce NÚKIB.

Na základě vydaného varování musí výše zmíněné subjekty reagovat přijetím přiměřených bezpečnostních opatření. Hrozba je hodnocena na úrovni „Vysoká“, tedy jako pravděpodobná až velmi pravděpodobná.

NÚKIB doporučuje zakázat instalaci a používání aplikace TikTok na zařízeních, jež mají přístup do regulovaného systému (pracovní i soukromá zařízení využívaná k pracovním účelům) jako nejsnadnější způsob, jak co nejvíce eliminovat uvedenou hrozbu. Vydané varování a výše zmíněná doporučení jsou v souladu se zákonem o kybernetické bezpečnosti, který ukládá NÚKIB mj. zajišťovat prevenci v oblasti kybernetické bezpečnosti.

„K vydání varování jsem přistoupil na základě komplexní analýzy informací o aplikaci TikTok, které jsme získali jak z veřejných zdrojů, tak od našich spojenců. Množství sbíraných dat a nakládání s nimi, v kombinaci s právním prostředím v Číně a rostoucím počtem uživatelů v České republice, nám nedává jinou možnost, než označit TikTok za bezpečnostní hrozbu,“ říká k vydanému varování ředitel NÚKIB Lukáš Kintr a dodává: „Varování nerozlišuje mezi uživateli ze státního a soukromého sektoru. Stěžejní je pro mě to, zda by ohrožení konkrétního systému mohlo mít negativní dopad na fungování České republiky a bezpečí každého z nás.“

Množství dat a způsob, jakým jsou sbírána, může sloužit k zacílení kybernetických útoků na konkrétní osoby a tím zvýšit riziko jejich úspěchu (např. prostřednictvím spear phishingu). Současně lze tato data zneužít k vydírání zájmových osob a narušit tak bezpečnostní nebo  strategické zájmy České republiky.

Ze shromážděných informací vyplývá, že TikTok sbírá excesivní množství uživatelských dat. Toto činí zejména následujícími způsoby:

• mapování zařízení, kdy aplikace zjišťují informace o jiných spuštěných
• a instalovaných aplikacích,
• obsah soukromé komunikace je ukládán na servery společnosti ByteDance
• pravidelná kontrola lokace zařízení
• přístup ke kontaktům v zařízení
• informace o zařízení včetně Wi-Fi SSID, předešlé konfigurace Wi-Fi, sériového čísla
• zařízení a SIM karty, ID zařízení, IMEI zařízení, MAC adresy, telefonního čísla, výčtu
• všech uživatelských účtů používaných na zařízení a kompletního přístupu ke
• clipboardu
• perzistentní přístup ke kalendáři umožňující jeho čtení a změnu, nebo
• vynucování využití nativního prohlížeče, jenž umožňuje sledovat téměř veškerou
• aktivitu uživatele (např. stisknutí kláves na obrazovce)

Zdroj: NÚKIB