La aplicación de TikTok aprovechó un fallo de seguridad en móviles Android para recopilar durante 15 meses, hasta noviembre de 2019, datos personales de sus usuarios entre los que se encuentra la dirección MAC, que permite identificar a los dispositivos móviles, una práctica prohibida por Google, según ha advertido The Wall Street Journal (WSJ).
Las direcciones MAC, de 12 dígitos, sirven para identificar el ‘hardware’ en los dispositivos que se conectan a la Red, como es el caso de los teléfonos inteligentes, y suelen utilizarse con fines publicitarios. Desde el año 2015, Android no permite que las aplicaciones obtengan estos datos, y cuenta con mecanismos para evitarlo.
No obstante, después de una actualización de su aplicación en 2018, TikTok evitó estas restricciones de Android y accedió a las direcciones MAC utilizando una solución alternativa que aprovechaba un fallo de seguridad presente en el sistema operativo móvil de Google, según la investigación realizada por WSJ.
TikTok enviaba a Bytedance estos datos personales, junto con otros datos de los dispositivos, en el momento en que la aplicación se instalaba o comenzaba a utilizarse por primera vez en un teléfono móvil.
Estos datos podían utilizarse, a través de una técnica conocida como ‘puenteo de ID’, para conectar los identificadores nuevos con los dispositivos antiguos y así rastrear a los usuarios con fines publicitarios.
Las políticas de Google Play establecen que las aplicaciones que accedan a cualquier dato personal, entre los que se incluyen las direcciones MAC, deben contar con el permiso explícito de los usuarios, algo con lo que TikTok no contaba.
El acceso a las direcciones MAC, que TikTok ha confirmado que no tiene lugar en las versiones actuales, se eliminó de la aplicación tras una actualización el 18 de noviembre de 2019.
Según un estudio de AppCensus realizado entre más de 25.000 apps en 2018, solo el 1,4 por ciento de las aplicaciones de Android utilizaban el fallo de seguridad del sistema que permitía acceder a las direcciones MAC.
Este descubrimiento se produce una semana después de que el presidente de Estados Unidos, Donald Trump, firmase una orden ejecutiva para prohibir «cualquier transacción» con TikTok después de 45 días si su propietario, la china Bytedance, no vende sus operaciones en Estados Unidos a una compañía local -Microsoft y Twitter ya se han interesado en comprarlas.
Estas medidas, que TikTok ha valorado como «un precedente peligroso para la libertad de expresión», se basan en preocupaciones de que los datos que recoge la red social de vídeos musicales sean utilizados para labores de contrainteligencia por el Partido Comunista Chino.
