Dastlab Telegram yangiliklar xonasida chop etilgan.
Platformamizning qonuniy tekshirilishini mamnuniyat bilan qabul qilamiz va bilamizki, keyingi avlod kibertahdidlaridan oldinda boʻlish bizdan platformamiz xavfsizligini doimiy ravishda kuchaytirishni va himoyamizni sinash uchun sohaning yetakchi mutaxassislari bilan hamkorlik qilishni talab qiladi. Shuning uchun biz HackerOne kabi soha yetakchilari bilan hamkorlik qilamiz va shuning uchun ham odamlarga manba kodi va ilovamiz algoritmi qanday ishlashi haqida maʼlumot olishi uchun global Shaffoflik va Hisobdorlik markazlarimiz eshiklarini ochamiz.
13-fevral kuni oʻzini AQSH va Avstraliyaning kiberxavfsizlik boʻyicha qoʻshma kompaniyasi sifatida taʼriflaydigan Internet 2.0 dagi Malcore jamoasi eng yaxshi holatda chalgʻituvchi, eng yomoni esa jiddiy xato va noxolis tahlilni eʼlon qildi. Hisobotga koʻra, Malcore – bu fayllar va dasturlarni skanerlash, zararli dasturlarni aniqlash va xavfni baholash uchun moʻljallangan avtomatlashtirilgan tahlil vositasi. Lekin oʻz eʼtirofiga koʻra, Malcore jamoasi ushbu vositadan manba kodini batafsil tekshirishni oʻz ichiga olmagan noaniq tahlil qilish uchun foydalangan. Ularning natijalarida bir qator noaniqliklar mavjud boʻlib, ular aniqlaganlarining toʻgʻriligiga shubha uygʻotadi.
Bunga javoban, biz oʻz tadqiqotchilarimiz tomonidan Malcore aniqlagan maʼlumotlarning texnik tahlilini oʻtkazdik va quyida aniqlaganlarimizni keltirdik.
SDK – bu dastur ishlab chiquvchilarga muayyan platforma uchun ilovalar yaratishda yordam beradigan vositalar majmuasidir. Bizda TikTok bilan integratsiya qilingan har qanday SDK umumiy xavfsizlik xavfini baholash jarayoni mavjud. Uchta holatda Malcore jamoasi SDK integratsiyalarini xato aniqlagan. TikTok Pangle, Google CrashLytics yoki Facebook Analytics SDK majmualaridan foydalanmaydi. Malcore tahlilida keltirilgan qolgan SDK majmualaridan quyidagi usullarda foydalanamiz:
Malcore jamoasi boshqa barcha asosiy ijtimoiy tarmoq ilovalari uchun soha standarti 34 ball va barcha 21 ta ilova uchun oʻrtacha 28,8 ball bilan solishtirganda eng yuqori (eng yomon) ball (63,1) olgan TikTok uchun baholash tizimi haqida hech qanday izoh bermadi.
Hisobot oʻzboshimchalik bilan beshta omil asosida belgilangan ballar vaznlarini keltiradi: treker/SDK majmualari, xavfli ruxsat, kod tahlili natijalari uchun yuqori jiddiylik ogohlantirishi, shubhali ruxsat va kod tahlili natijalari uchun jiddiylik ogohlantirishi. Bu beshta omil nega va qanday qilib tanlangani haqida hech qanday tushuntirish yoʻq.
Bundan tashqari, har bir omilga belgilangan ball nima uchun belgilangani haqida hech qanday tushuntirish yoki tashqi asos yoʻq, treker/SDK majmualariga ikkinchi omilga nisbatan 0,25 (10 marta kam) yoki beshinchi omil (50 marta kam) bilan solishtirganda eng yuqori 2,5 ball berilgan. Har qanday turkumdagi ballni oʻzgartirish TikTok va boshqa ilovalar uchun xavf baholarini tubdan oʻzgartiradi.
Taʼkidlash joizki, hisobotning oʻzi “trekerlar odatda dasturchilarga oʻz ilovalaridan qanday foydalanilayotganini tushunish, yuzaga kelishi mumkin boʻlgan muammolarni hal qilish va dasturni yaxshilash uchun moʻljallangan qonuniy dastur yaratish majmuasi (SDK)” ekanini” tan oladi. SDK majmualarining egri vazni, masalan, baʼzi kompaniyalar asosiy SDK ishlatishini hisobga olmaydi, bu esa SDK majmualari sonini xavfni baholash uchun unchalik ahamiyatli boʻlmagan omilga aylantiradi. Qisqacha aytganda, Malkorʼning ball tizimi shunchaki mantiqqa toʻgʻri kelmaydi.
TikTokda platformamizdan foydalanadigan odamlarning maxfiyligi va xavfsizligi ustuvor vazifalarimizdan biri hisoblanadi. Biz odamlarning shaxsiy hayoti va xavfsizligini himoyalash uchun oʻz masʼuliyatimizga jiddiy qaraymiz va ushbu maqsadga erishish uchun katta resurslarni ajratamiz. Biz yangiliklar xonasi, yordam markazi va maxfiylik siyosatimizdagi amaliyotlarimiz haqida yangilanishlarni taqdim etishda davom etishni rejalamoqdamiz.