Analisi tecnica della sicurezza dell’app «TikTok»
Il sospetto che l’utilizzo dell’app «TikTok», del produttore cinese ByteDance, possa comportare rischi per la sicurezza ha indotto le autorità di numerosi Paesi a vietarla sui dispositivi governativi. A inizio 2023, anche la Commissione europea e il Parlamento europeo hanno emanato un divieto di utilizzo dell’app sui cellulari di servizio dei loro collaboratori. Anche le autorità e le aziende svizzere devono porsi la questione di come gestire i possibili rischi correlati all’utilizzo dell’app. L’Istituto nazionale di test per la cibersicurezza NTC, su invito del Centro nazionale per la cibersicurezza (NCSC), ha quindi preso l’iniziativa e ha testato l’app «TikTok».
L’Istituto nazionale di test per la cibersicurezza NTC testa ciò che altrimenti non verrebbe testato. Su invito del Centro nazionale per la cibersicurezza (NCSC), l’NTC ha quindi deciso di sottoporre l’app «TikTok» del produttore cinese ByteDance a un’analisi tecnica della sicurezza.
Il test per l’analisi è stato svolto in condizioni il più possibile realistiche, senza particolari misure di protezione. La verifica ha riguardato in modo particolare la protezione dei dati personali e i rischi dal punto di vista della sicurezza. L’obiettivo era valutare il rischio di attività di monitoraggio e spionaggio durante l’utilizzo di «TikTok» su dispositivi Android o iOS. La protezione da manipolazioni, censura o condizionamento delle opinioni politiche non è invece stata oggetto dell’analisi. Inoltre, nell’ambito del budget temporale di ca. 40 giorni/persona, non è stato possibile analizzare in modo dettagliato né osservazioni tecniche su un lungo periodo, né tutti i componenti software.
Dai test dell’NTC è emerso che il funzionamento dell’app «TikTok» corrisponde sostanzialmente alle aspettative nei confronti di un’app dei social media. Non sono stati individuati indizi di un monitoraggio degli utenti. Tuttavia, ciò sarebbe tecnicamente possibile sulla base delle autorizzazioni estese che l’utente dell’app «TikTok» può concedere. Inoltre, in determinate circostanze, delle vulnerabilità potrebbero essere attivate o create tramite aggiornamenti.
Balza all’occhio il fatto che spesso vengono trasmessi dati sulla posizione. Inoltre, la trasmissione dei messaggi nelle chat di «TikTok» non è criptata «end to end». Al contrario, è stato constatato che una parte della comunicazione con il server di backend di «TikTok», il cui contenuto non è noto, viene ulteriormente criptata.
Per questi motivi, gli utenti dovrebbero evitare di concedere autorizzazioni all’app «TikTok» o concederle sempre solo con le dovute limitazioni, chiudere l’app dopo l’uso, non condividere mai dati di contatto con l’app e utilizzare altri canali per le comunicazioni di lavoro.
Riassumendo, l’Istituto nazionale di test per la cibersicurezza NTC raccomanda di considerare criticamente l’utilizzo dell’app «TikTok», in particolare su dispositivi che vengono impiegati in un contesto aziendale o governativo. Ciò vale in linea di principio per tutte le app che prevedono autorizzazioni estese e la cui utilità in un contesto aziendale o governativo è limitata.