Nel clima odierno di attenzione alla sicurezza, i Paesi e le aziende di tutto il mondo perdono poco tempo a discutere se un’applicazione mobile a rischio debba essere vietata, indipendentemente dalla sua popolarità. Con la sicurezza e la privacy dei dati al centro delle conversazioni, questi problemi si presentano in genere quando si scopre che un’applicazione ha delle pratiche di raccolta e gestione dei dati che non vanno bene.
Da un paio d’anni a questa parte, la popolare app TikTok è tornata a far parlare di sé in occasione di discussioni sulla privacy dei dati. Quando la questione è emersa per la prima volta all’inizio del 2020, Lookout ha analizzato l’app e ha scoperto che comunicava con decine di IP in Cina e persino uno in Russia.
Sebbene sia impossibile stabilire con esattezza quali dati venissero inviati a queste località, dal punto di vista della sicurezza nazionale degli Stati Uniti la situazione era molto preoccupante. Poiché è noto che il governo cinese esercita un’influenza diretta sulle aziende con sede in Cina, compresa la società madre di TikTok, ByteDance, è ragionevole pensare che i dati americani possano essere condivisi con il governo cinese.
Sembra che la situazione sia migliorata dal 2020. Lookout ha eseguito la stessa analisi il 13 dicembre 2022 e ha scoperto che l’app non comunica più con alcun indirizzo IP stranieri. Ciò che è degno di nota è che il volume e i tipi di dati raccolti sono ancora significativi e potrebbero rappresentare una preoccupazione legittima per i settori altamente regolamentati come le agenzie governative.
È per questo motivo che alcuni governi degli Stati Uniti hanno vietato ai dipendenti di utilizzare TikTok sui dispositivi mobili di proprietà del governo, tra cui agenzie in Alabama, Utah, Texas, Maryland, Nebraska, South Carolina e South Dakota.
Sebbene questo sia un inizio, le agenzie e i dipartimenti devono tenere presente che questo copre solo un sottoinsieme di dispositivi. Con la diffusione dell’ibrido e l’introduzione dei programmi BYOD (bring-your-own-device), è probabile che la maggior parte dei dipendenti utilizzi dispositivi personali non gestiti.
Perché la raccolta di dati di TikTok è una minaccia per la sicurezza?
Il fatto è che TikTok raccoglie molti degli stessi dati di altre app popolari. La differenza, però, è che TikTok è di proprietà della società cinese ByteDance, che deve attenersi alle leggi cinesi.
Un elemento legislativo che desta preoccupazione è la Chinese National Intelligence Law introdotta nel 2017. La legge stabilisce che ” any organization or citizen shall support, assist and cooperate with the state intelligence work in accordance with the law “. In parole povere, qualsiasi azienda con sede in Cina è tenuta a condividere i dati con il governo cinese se questi sono considerati una questione di sicurezza nazionale.
Tenendo presente ciò, si pensi all’eccesso di dati che TikTok raccoglie dai dispositivi su cui è installato, come la marca e il modello del dispositivo, la versione del sistema operativo (OS), l’operatore di telefonia mobile, la cronologia di navigazione, le app installate, i nomi dei file, gli schemi o i tempi di digitazione, le connessioni wireless e la geolocalizzazione. La politica sulla privacy di TikTok descrive la raccolta e l’analisi delle informazioni di identificazione personale (PII) degli utenti e dei dati raccolti da altre fonti. Questi possono includere l’età, l’immagine, i contatti personali, lo stato sentimentale, le preferenze e altri dati raccolti attraverso una funzione di single sign-on (SSO) che consente agli utenti di accedere a TikTok da altre piattaforme.
La sola geolocalizzazione può essere un problema di sicurezza nazionale, come abbiamo visto quando i soldati statunitensi hanno erroneamente pubblicato le loro attività sportive in una base americana segreta sulla popolare app di allenamento Strava. Per questo motivo, la Marina statunitense e altre organizzazioni militari hanno già vietato TikTok e ora gli Stati stanno seguendo l’esempio.
Inoltre, si teme che il governo cinese possa influenzare i contenuti che gli americani vedono. Che si tratti di produrre contenuti in prima persona o di alterare l’algoritmo, abbiamo visto tutti l’influenza che i social media possono avere sul discorso pubblico, compresa la politica. Avere una connessione più diretta con TikTok significa che il governo cinese potrebbe avere un impatto più diretto sugli utenti rispetto al modo in cui la Russia ha usato Facebook per interferire nelle passate elezioni americane.
Come bloccare le app non affidabili come TikTok
Se avete deciso di impedire ai vostri utenti di accedere a TikTok o a qualsiasi altra app non affidabile, la sfida diventa: come posso farlo? Si ritiene che TikTok utilizzi centinaia di content delivery networks (CDN) diversi, il che potrebbe renderlo difficile da controllare, quindi un approccio come il filtraggio DNS non funzionerebbe in questo caso. E come detto prima, limitare l’accesso dai dispositivi gestiti è solo metà della battaglia, considerando tutti i dispositivi personali non gestiti che le persone utilizzano.
In Lookout possiamo adottare un duplice approccio, il primo dei quali consiste nell’identificazione delle app e nel controllo degli accessi. Utilizzando Lookout Mobile Endpoint Security e una soluzione per la gestione dei dispositivi mobili (MDM), possiamo aggiungere TikTok a un elenco di applicazioni non autorizzate. Ciò significa bloccare l’accesso ai domini degli utenti. Se l’app viene rilevata su un dispositivo, un’agenzia può segnalarla come non conforme e bloccare l’accesso ai domini degli utenti, al single sign-on (SSO) e alle app e ai dati aziendali. L’utente dovrebbe rimuovere TikTok prima di riottenere l’accesso.
Il secondo approccio blocca TikTok contrassegnando un insieme di domini root. In questo modo, Lookout Mobile Endpoint Security può impedire ai dispositivi BYO non gestiti di accedere a TikTok tramite browser e dall’app stessa.
Ridurre al minimo i rischi del BYOD è più facile a dirsi che a farsi
Man mano che il lavoro ibrido diventa permanente, i team IT e di sicurezza stanno perdendo la visibilità e i controlli che erano soliti avere all’interno dei perimetri aziendali. Probabilmente conoscete già lo shadow IT, in cui gli utenti utilizzano sempre più spesso applicazioni non autorizzate per interagire con i dati aziendali. I dispositivi mobili devono far parte di questo discorso.
Con gli strumenti tradizionali, non si ha visibilità sulle attività di un tablet o di uno smartphone. Con l’MDM è possibile controllare alcuni aspetti, come la presenza di app. Ma anche in questo caso non si ha alcuna visione dello stato di salute del dispositivo. Il problema si aggrava sul fronte BYOD, dove non si dispone di alcuna capacità di controllo.
TikTok è solo un’altra app che ogni azienda deve decidere se rappresenta un rischio per i dati aziendali. La lezione da trarre è che la messa in sicurezza e il rispetto delle policy sui dispositivi mobili richiede una soluzione creata da zero per i dispositivi moderni.
Per capire meglio come proteggere la vostra azienda, consultate la pagina di Lookout Mobile Endpoint Security. Lookout ha ottenuto la Joint Advisory Board Provisional Authority to Operate (JAB P-ATO) con il Federal Risk and Authorization Management Program (FedRAMP), è stata la prima soluzione di sicurezza mobile a ottenere il StateRAMP Authorization e ha ottenuto la certificazione di livello 2 dal Texas Risk and Authorization Management Program (TX-RAMP). Inoltre, utilizzando il più grande insieme di dati mobili al mondo, la nostra soluzione è in grado di rilevare e rispondere all’intero spettro di minacce mobili in tempo reale.
Fonte: Lookout