
Cyberthreat.id – Di masa pemerintahan Donald Trump, Amerika Serikat menyebut TikTok sebagai ancaman bagi keamanan nasional. Namun, penelitian terbaru dari Citizen Lab Kanada, lembaga yang berfokus pada hak-hak digital, mengungkapkan bahwa aplikasi besutan perusahaan China itu tampaknya bukan ancaman bagi keamanan Amerika.
Dikutip dari South China Morning Post, Citizen Lab sampai pada kesimpulan itu lantaran dalam penelitiannya tidak menemukan prilaku berbahaya seperti menyisipkan malware jahat pada aplikasinya. Bahkan, TikTok tidak mengumpulkan informasi seperti daftar kontak, merekam dan mengirim foto, audio, video atau koordinat geolokasi tanpa izin pengguna.
Dalam laporannya, Citizen Lab mengatakan pihaknya tidak menemukan tranmisi data terbuka dari Tiktok ke pemerintah China, karena aplikasi memang tidak terhubung dengan server mana pun yang berlokasi di China. Meskipun, tidak menutup kemungkinan bahwa data pengguna yang dikumpulkan di luar China dapat dikirim ke negara tersebut nantinya.
Citizen Lab yang berbasis di Universitas Toronto Kanada, dikenal sebagai lembaga independen yang mengungkap sejumlah skandal perusahaan teknologi di masa lalu. (Lihat: Sepak Terjang Citizen Lab, Bertaruh Nyawa Mengungkap Skandal Mata-mata Siber dan Peretasan WhatsApp)
Menurut peneliti utama Citizen Lab, Pellaeon Lin, TikTok mengumpulkan jumlah data yang sama seperti Facebook terkait dengan perilaku pengguna untuk menayangkan iklan bertarget. Data ini mencakup informasi perangkat seperti pengenal dan nama alamat jaringan, serta pola penggunaan seperti postingan yang disukai oleh pengguna.
TikTok menjadi salah satu aplikasi yang banyak disukai secara global khususnya di Amerika Serikat. Ini membuat TikTok semakin diawasi terutama setelah upaya dari Administrasi Trump untuk melarang aplikasi di AS karena dugaan masalah keamanan nasional, dan memaksa ByteDance untuk mencari pembeli untuk operasi TikTok di AS.
“TikTok adalah bagian dari generasi baru platform internet populer global yang memiliki ikatan dan kepemilikan signifikan di China. Pemerintah perlu memberi tahu orang-orang tentang dasar teknis atau ilmiah di balik kebijakan pelarangannya,” kata Lin.
Meskipun pada kepemimpinan Biden tampaknya ancaman pemblokiran TikTok sedikit mereda, namun masalah TikTok di AS masih belum berakhir karena pemerintahan baru telah memperjelas bahwa mereka akan terus memusatkan perhatian pada risiko keamanan yang ditimbulkan oleh teknologi Cina.
Tak hanya di AS, TikTok juga menghadapi tuduhan serupa di India. Pada Juni 2020 lalu, pemerintah India melarang TikTok dan 58 aplikasi asal China menyusul bentrokan mematikan di perbatasan kedua negara.
Dua Versi TikTok
Citizen Lab mengungkapkan ByteDance mengoperasikan dua platform berbeda, TikTok dan Douyin.
ByteDance meluncurkan Douyin di China yang disesuaikan dengan regulasi di China yang mewajibkan perusahaan untuk memoderasi konten dan mematuhi aturan yang diterapkan pemerintah. Sementara di luar China, ByteDance meluncurkan TikTok pada Juni 2018 dan menjadi populer secara global.
Citizen Lab mengatakan, baik Douyin dan TikTok berbagi banyak kode sumber yang sama, dengan beberapa perbedaan regional yang disesuaikan dengan kebutuhan pasar. Keduanya memiliki beberapa penyesuaian yang dapat diaktifkan atau dinonaktifkan oleh nilai konfigurasi pada server yang berbeda. Namun, Citizen Lab tidak dapat memastikan apakah kemampuan ini dapat digunakan untuk mengaktifkan fitur tersembunyi yang melanggar privasi.
“Kami mendalilkan bahwa ByteDance mengembangkan TikTok dan Douyin mulai dari basis kode umum dan menerapkan penyesuaian yang berbeda sesuai kebutuhan. Kami mengamati bahwa beberapa penyesuaian ini dapat diaktifkan atau dinonaktifkan oleh nilai konfigurasi di server yang berbeda,” kata Citizen Lab.
Secara keseluruhan, TikTok menyertakan beberapa desain internal yang tidak biasa, tetapi tidak menunjukkan perilaku jahat yang berlebihan. Justru yang berbahaya adalah Douyin karena dapat melewati proses penginstalan sistem, tetapi fitur ini juga biasa terlihat di aplikasi China dan diterima secara umum di pasar China
“Dalam sebagian kecil kode yang telah kami periksa, kami tidak menemukan kasus di mana fitur yang tidak diinginkan dapat diaktifkan oleh nilai konfigurasi yang dikembalikan server. Namun, kami masih khawatir bahwa kode tidak aktif yang awalnya dimaksudkan untuk Douyin ini dapat diaktifkan di TikTok secara tidak sengaja, atau bahkan disengaja."
Privasi dan Security
Menurut Citizen Lab, TikTok dan Douyin tidak mengunggah daftar kontak, foto, atau file pengguna. Bahkan dalam hal pengumpulan data pihak pertama, Douyin dan TikTok mengumpulkan sekumpulan informasi perangkat yang serupa.
Sementara itu, dalam hal pengumpulan data pihak ketiga, perbedaan antara Douyin dan TikTok adalah mereka menggunakan kumpulan penyedia layanan pihak ketiga yang berbeda. Douyin sebagian besar menggunakan layanan Cina, sedangkan TikTok menggunakan layanan global. Item data yang dikumpulkan oleh Douyin mencakup alamat MAC, yang memungkinkan identifikasi perangkat individu dengan sangat tepat. TikTok memang mengumpulkan banyak item data, secara keseluruhan mereka masih berada dalam norma industri umum untuk pengumpulan data pengguna.
Seperti kebanyakan aplikasi, Douyin dan TikTok menyertakan pelacak pihak pertama (yang mengirimkan informasi ke pengembang aplikasi itu sendiri) dan pelacak pihak ketiga (yang mengirimkan informasi ke perusahaan lain). Biasanya, pelacak ini mengumpulkan informasi perangkat terutama untuk tujuan penargetan iklan, telemetri, debugging, dan anti-penyalahgunaan. Bergantung pada perinciannya, informasi ini memungkinkan identifikasi yang tepat dari setiap pengguna dan pembuatan profil mereka.
Terkait keamanan aplikasi, Citizen Lab mengatakan bahwa semua lalu lintas di TikTok dilindungi secara memadai menggunakan HTTPS. Bahkan, untuk beberapa data, lapisan enkripsi tambahan, yang disebut "ttEncrypt."
“Kami merancang cara untuk mencegat data teks biasa sebelum dienkripsi dengan ttEncrypt. Kami memeriksa data dan tidak menemukan alasan yang jelas mengapa data ini harus dienkripsi lagi di atas enkripsi transport yang disediakan oleh HTTPS, karena data ttEncrypt ini tidak bersifat rahasia.”
Tak hanya itu, sebagian besar permintaan API TikTok dilindungi dengan tanda tangan khusus di header HTTP bernama "X-Gorgon". Tanda tangan dibuat menggunakan modul pustaka asli, yang menyulitkan peneliti untuk memahami cara kerjanya.
"Kami pikir tujuan dari tanda tangan ini adalah untuk mencegah program pihak ketiga meniru dan mengirim permintaan API TikTok."
“Kami menemukan bahwa ada orang yang menjual dan membeli implementasi pihak ketiga dari algoritma ttEncrypt dan X-Gorgon. Implementasi pihak ketiga ini mungkin diproduksi untuk melayani kebutuhan bot (program yang menyamar sebagai pengguna nyata),” kata peneliti Citizen Lab.[]
Editor: Yuswardi A. Suud
Share: