IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

WhatsApp

کلمات رایج امنیت شبکه و فناوری اطلاعات IPImen

امکان کنترل از راه دور تلفن شما با اشکالات جدید واتساپ

 

نرم افزار متعلق به فیس بوک با نام واتساپ، به تازگی دو آسیب پذیری امنیتی را در برنامه پیام رسانی خود برای اندروید برطرف کرده است که می توانست برای اجرای کدهای مخرب از راه دور بر روی دستگاه و حتی نشت اطلاعات حساس مورد سوءاستفاده قرار بگیرند.

هدف این اشکالات، دستگاههایی است که نسخه های اندروید تا نسخه 9 میباشد که با بهره گیری از حملاتی که با نام "man-in-the-disk" شناخته می شوند و این امکان را برای مهاجمین فراهم می کند تا با استفاده از داده هایی که در بین نرم افزار و حافظه خارجی رد و بدل می شود، برنامه را به خطر بیندازند.

امروز محققان آزمایشگاه های کنسوس اعلام کردند: "دو آسیب پذیری واتساپ که در بالا اشاره شده اند، امکان جمع آوری از راه دور موارد رمزنگاری TLS را برای سشن های TLS 1.3 و TLS 1.2 برای مهاجمان فراهم کرده است".

"با اسراری که در TLS وجود دارد، ما نشان خواهیم داد که چگونه حمله مرد میانی (MitM) می تواند منجر به در خطر افتادن ارتباطات واتساپی شده و اجرای کد از راه دور بر روی دستگاه قربانی و استخراج کلیدهای پروتکل نویز که برای رمزگذاری end-to-end در ارتباطات کاربر استفاده میشود را امکان پذیر نماید".

به طور خاص، این نقص (CVE-2021-24027) از پشتیبانی کروم از ارائه دهندگان محتوا در اندروید (از طریق طرح URL "content://") و بای‌پس پالیسی مشابه در مرورگر (CVE-2020-6516) استفاده می کند؛ بدین ترتیب به مهاجم اجازه می دهد تا یک فایل HTML ساخته شده مخصوص از طریق واتساپ را برای قربانی ارسال کند، که با باز شدن در مرورگر وی، کد موجود در فایل HTML را اجرا نماید. (مشاهده ویدئو در یوتوب)

از این بدتر می توان از کد مخرب برای دسترسی به منابعی که در حافظه ذخیره سازی خارجی محافظت نشده است، استفاده کرد، شامل آنهایی که از جانب واتساپ است و برای ذخیره جزئیات کلیدی سشن TLS در زیر شاخه ها، بین مابقی آنها و در نتیجه اطلاعات حساسی که هر نرم افزار دیگری اجازه خواندن و تغییر دادن آنها از طریق حافظه خارجی دارد.

کریتون کارامیتاس، محقق آزمایشگاه های کنسوس گفت: "تمام کاری که یک مهاجم باید انجام دهد این است که قربانی را مجبور به باز کردن پیوست یک فایل HTML کند. واتساپ این پیوست را از طریق ارائه دهنده محتوا در کروم ارائه می کند و در نتیجه کد جاوا اسکریپت مهاجم می تواند کلیدهای سشن ذخیره شده TLS را به سرقت ببرد".

یک مهاجم به عنوان شخصی که به رمزها دسترسی دارد، می تواند حمله مرد میانی را انجام دهد تا به اجرای کد از راه دور دست یابد یا حتی جفت کلیدهای پروتکل نویز را از بین ببرد (که برای اجرا کردن یک کانال رمزگذاری شده بین کاربر و سرور برای انتقال لایه امنیتی استفاده می شود و نه پیام های خود، که با استفاده از پروتکل سیگنال رمزگذاری می شوند) که با ایجاد عمدی خطا در خارج از حافظه و از راه دور بر روی دستگاه قربانی انجام شده که توسط برنامه برای اهداف تشخیصی و مشکل یابی جمع آوری شده اند.

هنگامی که این خطا برطرف شود، مکانیسم اشکال زدایی واتساپ جفت کلیدهای رمزگذاری شده را به همراه لاگ های برنامه، اطلاعات سیستم و سایر محتوای حافظه در یک سرور اختصاصی که به لاگ های خطاها تخصیص داده شده است (crashlogs.whatsapp.net) وارد و بارگذاری می کند. اما شایان ذکر است که این تنها در دستگاه هایی رخ می دهد که نسخه جدیدی از برنامه را اجرا می کنند و "کمتر از 10 روز از تاریخ انتشار نسخه فعلی گذشته باشد".

اگرچه فرایند اشکال زدایی به منظور فراخوانی خطاهای بزرگ در برنامه طراحی شده است، اما ایده پشت حملات MitM، ایجاد برنامه ای متفاوت است که باعث جمع آوری داده ها و غیر فعال کردن امکان آپلود می شود و فقط برای قطع ارتباط و افشای همه اطلاعات حساسی که قرار بود به زیرساخت های داخلی واتس اپ ارسال شوند، انجام میشود.

برای دفاع در برابر چنین حملاتی، گوگل در اندروید نسخه 10، ویژگی ای را به نام "scoped storage" معرفی کرد که به هر برنامه یک منطقه ذخیره سازی جداگانه در دستگاه تخصیص می دهد، به گونه ای که هیچ برنامه دیگری که روی همان دستگاه نصب شده باشد، نمی تواند مستقیماً به داده های ذخیره شده توسط برنامه های دیگر دسترسی داشته باشد. (مشاهده ویدئو در یوتوب)

این شرکت امنیت سایبری گفت که هیچ اطلاعی در مورد سوءاستفاده های انجام شده بخاطر این نوع حملات ندارد، اگرچه در گذشته از نقص واتساپ برای تزریق نرم افزارهای جاسوسی به دستگاه های هدف و جاسوسی از روزنامه نگاران و فعالان حقوق بشر سوءاستفاده شده بود.

به کاربران واتساپ توصیه می شود برای کاهش خطر بخاطر این نقص، برنامه خود را به نسخه 2.21.4.18 بروزرسانی کنند. هنگامی که به نتیجه رسیدند، این شرکت دوباره تأکید کرد "کلیدهایی" که برای محافظت از پیام های افراد استفاده می شود در سرورها بارگذاری نمی شوند و اطلاعات ورود به سیستم شناسایی خرابی، اجازه دسترسی به محتوای پیام را نمی دهد.

سخنگوی این شرکت به خبرگزاری ها اعلام نمود: "ما به طور مرتب با محققان امنیتی همکاری می کنیم تا روشهای بی شماری را که واتساپ از پیامهای مردم محافظت می کند، بهبود بخشیده و گسترش دهیم. ما از اطلاعاتی که این محققان با ما به اشتراک گذاشته اند ، قدردانی می کنیم. اطلاعاتی که در گذشته به ما کمک کرده است در مواردی که کاربر اندروید از وب سایت مخربی در کروم بازدید می کند، واتساپ را بهبود ببخشیم. اگر شفاف صحبت کنیم، رمزگذاری end-to-end همانطور که در نظر گرفته شده است کار می کند و پیام ها ایمن و بدون آسیب باقی می مانند".

کارامیتاس گفت: "سیستم های فرعی بیشتری در واتساپ وجود دارد که ممکن است مورد توجه مهاجم واقع شود. ارتباط با سرورهای بالادستی و پیاده سازی رمزگذاری E2E دو مورد قابل توجه برای ما هستند. علاوه بر این، علی رغم این واقعیت که این کار روی واتساپ، سایر برنامه های پیام رسان معروف اندروید (مانند وایبر و مسنجر فیسبوک) یا حتی بازی های تلفن همراه متمرکز بود، ممکن است به شکل ناخواسته باعث سطح مشابهی از برای حملات کنترل از راه دور در معرض مهاجمین قرار دهد".

خراب کردن iPhone، iPad و Mac تنها با یک کاراکتر

​تنها فقط یک کاراکتر می‌تواند iPhone شما را خراب کند و دسترسی به برنامه پیام‌رسان در iOS و همچنین برنامه‌های محبوب مانند WhatsApp، Facebook Messenger، Outlook for iOS و Gmail را مسدود کند.Takian.ir bug iphone mac carattere indiano

این موضوع اولین بار توسط یک وبلاگ ایتالیایی به نام mobileworld.it مورد اشاره قرار گرفت که حاکی از یک باگ و اشکال بالقوه جدید بود که نه تنها بر روی آیفون‌ها، بلکه بر روى طیف گسترده‌ای از دستگاه‌های اپل، از جمله iPad ها، مکینتاش‌ها و حتی ساعت‌هاى هوشمند داراى آخرین نسخه از سیستم عامل، تاثیر می‌گذارد.
مانند باگ "بمب متنى" که قبلا منتشر شده بود، اين باگ و اشکال جدید به راحتی می‌تواند توسط هر کسی مورد سوء استفاده قرار گیرد و نیاز به این دارد تا کاربران فقط یک کاراکتر تِلـوگو –(یک زبان بومی هندی است که توسط 70 میلیون نفر در کشور هندوستان صحبت می‌شود) را ارسال کنند.
هنگامی که گیرنده یک پیام ساده حاوی این نماد را دريافت می‌کند یا آن نماد را در ویرایشگر متن تایپ می‌کند، این کاراکتر بلافاصله منجر به اختلال در iPhone ها، iPads ها، مک‌بوک‌ها، ساعت‌هاى هوشمند و تلویزیون‌های اپلي كه در حال اجراي برنامه Springboard هستند، مى‌شود.
برنامه‌هایی که بمب متنى را دریافت می‌کنند، تلاش می‌کنند تا این کاراکتر را بارگذاری کنند، اما تا زمانى كه اين كاركتر حذف نشود، نمی‌توانند به درستی كاركنند - که معمولا اين كار می‌تواند با حذف کل مکالمه انجام شود.
ساده‌ترین راه حذف این پیام جنجالی این است که از یک شخص دیگر درخواست کنید که یک پیام به برنامه‌ای که به علت بمب متنى خراب شده است، ارسال کند. اين كار  به شما این امکان را می دهد که به طور مستقیم به آن اعلان پرش کنید و کل موضوعی که حاوی کاراکتر مخرب است را بتوانید حذف کنید.
این کاراکتر می‌تواند برنامه‌های شخص ثالث مانند iMessage، Slack، فیس‌بوک مسنجر، WhatsApp، Gmail، و Outlook برای iOS، و همچنین Safari و Messages برای نسخه‌های macOS را غیر فعال كند
به نظر می‌رسد کاربران برنامه‌هاى تلگرام و اسکایپ در موضوع باگ بمب متنى با خطری روبرو نباشند و این مشکل در این نرم افزارها وجود ندارد.

Takian.ir Carattere indiano crash iPhone
ظاهرا، حداقل سه روز پیش از انتشار این خبر، شرکت اپل از این باگ مطلع بوده و قصد دارد این موضوع را در یک به روز‌رسانی iOS قبل از انتشار iOS 11.3 عرضه کند.
در مورد این موضوع نسخه بتای عمومی iOS 11.3 بدون تأثیر است.
از آنجایی که بسیاری از برنامه‌ها تحت تاثیر بمب جدیدِ متني قرار می‌گیرند، افراد سودجو می‌توانند از این اشکال سوء استفاده کنند تا کاربران اپل را از طریق ایمیل یا برنامه‌هاى پیام‌رسان مورد هدف قرار دهند. 
لذا توصیه می‌گردد کاربرانی که از محصولات این شرکت استفاده قرار می‌كنند علاوه بر افزایش اطلاعات خود در خصوص اين باگ به بروزرسانی‌ها نیز توجه ویژه داشته باشند.

رمزنگاری اختصاصی و محرمانه پیام های دایرکت در توییتر

توییتر اعلام کرد که در حال تست رمزنگاری End-to-End در پیغام های Direct است. 

 به نقل از سایت هکرید، هرچند که سرعت تست این قابلیت بسیار حلزونی است اما توییتر معتقد است که این قابلیت بصورت کامل تر و تست شده تر اما دیرتر ارائه شود بجای اینکه هرگز ارائه نشود. Takian.ir twitter locked

از سال 2013 کارشناسان حدس میزدند که توییتر احتمالا بزودی رمزنگاری کاملی را بر روی پیغام های Direct اعمال میکند و این حدس بلاخره بعد از 5 سال در حال تحقق است.

جین مانچون وونگ، دانشجوی علوم رایانه ای در دانشگاه ماساچوست دارتموث، این ویژگی را "مکالمه راز" (Secret Conversation) نامگذاری کرده است. این ویژگی در آخرین نسخه بسته نرم افزاری Android برای توییتر ارائه شده است اما فقط برای افراد محدودی بصورت تستی قابل استفاده است.

رمز نگاری نهایی یا همان End-to-end encryption  به کاربران اجازه می دهد پیام ها را به گونه ای ارسال کنند که هیچ کس، حتی عامل FBI با حکم دولتی، هکر یا حتی خود توییتر نتواند انها را بخواند.

با این حال، به نظر میرسد که قابلیت گفتگوی مخفی در حال حاضر فقط برای تعداد کمی از کاربران برای آزمایش در دسترس است.بنابراین، اگر شما یکی از افراد خوش شانس هستید، میتوانید بصورت رمزشده End-to-End اقدام به رمزنگاری پیغام های دایرکت خود بنمایید. به نظر می رسد قابلیت "مکالمه راز" به کاربران توییتر اجازه می دهد با رمزگذاری پیام های ارسال شده و دریافتی بتوانند امنیت مکالمات خود را تقویت کنند.

نحوه ارسال پیام های رمزگذاری شده در پیغام های مستقیم توییتر

بر خلاف WhatsApp و iMessage اپل، همه مکالمات شما در Twitter DM به طور پیش فرض رمزگذاری نخواهند شدبلکه شما خودتان تصمیم میگیرید که کدام یک از پیغام های شما توسط این قابلیت رمز شود، همانند شروع یک چت محرمانه در مسنجر فیس بوک یا در تلگرام.

Takian.ir twitter encrypted direct messages

Takian.ir twitter endtoend encryption

همانطور که در تصویر به اشتراک گذاشته شوده توسط جین مانچون وونگ مشاهده میکنید، نیاز به پیروی از مراحل زیر است تا یک "مکالمه راز" در توییتر ( البته بعد از اینکه این قابلیت در دسترس همه قرار بگیرد) را اجرا کنید:

    1 - برنامه توییتر را بر روی دستگاه Android خود باز کنید.
    2 - 
یک مکالمه موجود را باز کنید یا یک مکالمه دیجیتالی جدید را با شخص دیگری که میخواهید به صورت مخفی گپ بزنید شروع کنید.
    3 - 
آیکن Information در گوشه سمت راست گوشی خود را لمس کنید.
    4 - 
"Start a secret text message" را انتخاب کنید و یک پنجره جدید باز می شود که در آن می توانید پیام های رمز شده را ارسال کنید.

لازم به ذکر است که زیرساخت فعلی توییتر حریم خصوصی کلیدهای رمزنگاری افراد را برای رمزگذاری / رمزگشایی پیام ها ارائه نمی دهد، بنابراین ویژگی های مخفی برای نسخه دسک تاپ و وب توییتر در دسترس نخواهد بود و تنها در نسخ برنامه های تلفن همراه (Android / iOS) میتوانید به آسنی به این قابلیت دسترسی داشته باشید درست مانند WhatsApp ، Facebook Messenger و Telegram.

علاوه بر قابلیت "مکالمه راز"، توییتر بر روی حالت "Data Saver" نیز در حال کار کردن است، که با فعال سازی آن، سرعت ارتباطی شما تا سطح بالایی افزایش می یابد، زیرا با غیرفعال کردن پخش ویدئو بصورت خودکار و همچنین جلوگیری از بارگذازی تصاویر سنگین بصورت اتوماتیک، موجب صرفه جویی در بخشی از پهنای باند شما میشود.

کمک شرکت اسرائیلی به دولت ها بوسیله جاسوس افزار و آسیب پذیری روز صفر برای هدف قرار دادن روزنامه نگاران و فعالان

 takian.ir israeli firm helped governments target journalists activists with 0 days and spyware

دو مورد از ایرادهای روز صفر ویندوز که مایکروسافت به عنوان بخشی از بروزرسانی Patch Tuesday اوایل این هفته پچ کرده است، توسط یک شرکت اسرائیلی به نام Candiru در یک سری حملات دقیق برای هک کردن بیش از 100 روزنامه نگار، اعضای دانشگاهی، فعالان و مخالفان سیاسی در سطح جهانی به کار گرفته شده است.

بر اساس گزارشی که توسط سیتیزن لب دانشگاه تورنتو منتشر شده است، تامین کننده جاسوس افزار همچنین به طور رسمی به عنوان شرکت نظارت تجاری شناخته شد که گروه تجزیه و تحلیل تهدیدات گوگل (TAG) از آن به عنوان سواستفاده کننده از چندین آسیب پذیری روز صفر در مرورگر کروم برای هدف قرار دادن قربانیان شهروند ارمنستان نام برد.

به نقل از هکرنیوز، محققان سیتیزن لب گفتند: "حضور گسترده و آشکار Candiru و استفاده از فناوری نظارت آن بر علیه جامعه مدنی جهانی به خوبی یادآور ای نکته است که صنعت جاسوسی مزدوران، عاملان زیادی را در خود جای داده و مستعد سواستفاده گسترده است. این مورد باز هم نشان می دهد که در صورت عدم وجود هیچ گونه ضمانت بین المللی یا کنترل شدید صادرات توسط دولت ها، تامین کنندگان جاسوس افزار اقدام به فروش این خدمات جاسوس افزاری به مشتریان دولتی میکنند، در حالی آنها که به طور روزمره از خدماتی که ارائه میدهند، جهت سواستفاده بهره برداری می نمایند.".

گفته می شود که private-sector offensive actor (PSOA)، موسوم به "Sourgum" که توسط مایکروسافت در سال 2014 کشف شد، توسعه دهنده یک بسته ابزاری جاسوسی به نام DevilsTongue است که منحصرا به دولت ها فروخته می شود و قادر به آلوده سازی و نظارت بر طیف وسیعی از دستگاه ها است و پلتفرم های مختلف، از جمله آندروید، آیفون، مَک، رایانه های شخصی و حساب های ابری را در بر میگیرد.

موسسه Citizen Lab اعلام کرد که پس از به دست آوردن یک هارد دیسک از "یک قربانی فعال سیاسی در اروپای غربی"، توانست نسخه ای از نرم افزارهای جاسوسی ویندوز Candiru را بازیابی کند، سپس با استفاده از مهندسی معکوس برای شناسایی دو سواستفاده روز صفر ویندوز و آسیب پذیری های آن اقدام نماید. این آسیب پذیری ها که به عنوان CVE-2021-31979 و CVE-2021-33771 شناسایی شده اند، برای نصب بدافزار در سیستم قربانیان استفاده شده اند.

زنجیره آلودگی به ترکیبی از نقایص مرورگر و ویندوز متکی میباشد، که اولین موارد آن از طریق URL های یکبار مصرف ارسال شده و به اهدافی مانند برنامه های پیام رسان چون WhatsApp ارسال گردیده است. مایکروسافت در 13 جولای هر دو نقص افزایش اختیار را که باعث میشدند که مهاجم بتواند از سندباکس های مرورگر عبور کند و کد کرنل را بدست آورد، رفع کرده است.

این حملات با استقرار DevilsTongue، یک بک دُر مبتنی بر C/C++ ماژولار مجهز به چندین قابلیت از جمله مسدود کردن فایل ها، استخراج پیام های ذخیره شده در برنامه پیامرسان رمزگذاری شده Signal و سرقت کوکی ها و رمزهای عبور از مرورگرهای Chrome ،Internet Explorer ،Firefox ،Safari و Opera به اوج خود رسید.

تجزیه و تحلیل مایکروسافت از این سلاح دیجیتال همچنین نشان داد که این کوکی ها می توانند از کوکی های به سرقت رفته از طریق ایمیل وارد شده و حساب های رسانه های اجتماعی مانند Facebook ،Twitter ،Gmail ،Yahoo ،Mail.ru ،Odnoklassniki و Vkontakte برای جمع آوری اطلاعات، خواندن پیام های قربانی اقدام کرده، عکس ها را بازیابی کنند و حتی از طرف قربانیان پیام ارسال کنند، و به طبع آن به عامل تهدید اجازه می دهد لینک های مخرب را مستقیماً از رایانه کاربر آسیب دیده ارسال کند.

گزارش Citizen Lab به طور مجزا نیز دو آسیب پذیری گوکل کروم را که روز چهارشنبه توسط این غول جستجو فاش شده بود (CVE-2021-21166 و CVE-2021-30551)، با اشاره به هم پوشانی موجود در وبسایت های استفاده شده برای توزیع این بهره برداری، در پیوند با این شرکت اسرائیلی دانسته است.

علاوه بر این، 764 دامنه مرتبط با زیرساخت نرم افزارهای جاسوسی Candiru کشف شده است و بسیاری از دامنه ها به عنوان سازمان های انسان دوستانه مانند عفو بین الملل، جنبش Black Lives Matter و همچنین شرکت های رسانه ای و سایر نهادهای جامعه مدنی مطرح شده اند. برخی از سیستم های تحت کنترل آنها از عربستان سعودی، اسرائیل، آمریكا، مجارستان و اندونزی اداره می شدند.

بیش از 100 قربانی بدافزار Sourgum تاکنون شناسایی شده است و اهداف در فلسطین، اسرائیل، ایران، لبنان، یمن، اسپانیا (کاتالونیا)، انگلستان، ترکیه، ارمنستان و سنگاپور قرار داشته اند. مدیر کل واحد امنیت دیجیتال مایکروسافت، کریستین گودوین بیان داشت: "این حملات عمدتا حساب های مصرف کننده را هدف قرار داده است که نشان می دهد مشتریان Sourgum، افراد خاصی را تعقیب می کرده اند.".

مخاطرات رسانه اجتماعی تیک تاک؛ جمع آوری داده‌های بیومتریک کاربران

 tiktok collects biometric data from users such as facial and voice prints 1

 

برنامه محبوب رسانه اجتماعی TikTok بار دیگر برای یک خطر امنیتی جدید دیگر خبرساز شده است. اما استثنا این بار، این مسئله ارتباطی به آسیب پذیری امنیتی ندارد، بلکه مربوط به بروزرسانی جدید سیاست حفظ حریم خصوصی تیک تاک است که به این نرم افزار اجازه می دهد داده های بیومتریک کاربران را جمع آوری کند.

 

به روز رسانی سیاست حفظ حریم خصوصی TikTok
رسانه اجتماعی TikTok اخیراً سیاست حفظ حریم خصوصی خود را به روز کرده است تا در مورد چگونگی جمع آوری اطلاعات توسط این شرکت با کاربران ظاهرا شفاف تر برخورد کند. با این حال، در به روزرسانی جدید، به جمع آوری اطلاعات حساس و همچنین داده های بیومتریک کاربران اشاره شده است. اگرچه، با رضایت کاربران، شرکت در صورت لزوم، اطلاعات شناسایی چهره و صدا را جمع آوری می کند.

این چیزیست که توسط تیک تاک در توضیحات بیان شده است:

امکان دارد که ما شناسه های بیومتریک و اطلاعات بیومتریک را که در قوانین ایالات متحده تعریف شده است، مانند اطلاعات شناسایی چهره و شناسایی صدا را از محتوای کاربری شما گردآوری کنیم. در صورت نیاز به قانون، ما مجوزهای لازم را قبل از هرگونه جمع‌آوری اطلاعات، از شما درخواست و اخذ خواهیم کرد.

اگرچه این مسئله همچنان نگران کننده است، اما آنچه باعث جدی تر شدن این مورد می شود این است که این اطلاعات به بخش "اطلاعات تصویر و صوت" تحت عنوان "اطلاعاتی که ما به طور خودکار جمع آوری می کنیم" اضافه شده است. این نکته حاکی از آن است که شرکت از قبل به خود اجازه داده است که این اطلاعات را به طور خودکار از کاربران جمع آوری کند.

بدتر از آن اینکه، شرکت هیچ اطلاعیه خاصی در این زمینه منتشر نکرده است. در عوض این به روزرسانی بی سر و صدا و در قالب رفع اشکال در اختیار کاربران قرار گرفت و به متعاقب آن مورد توجه TechCrunch قرار گرفت و سپس آنها این موضوع را فاش کردند.

 

آیا باید نگران باشیم؟
رسانه اجتماعی TikTok، به ویژه شرکت مادر یعنی Bytedance، به دلیل نگرانی های امنیتی اغلب تحت نظارت دولت آمریكا قرار گرفته است. حتی در ماه سپتامبر سال 2020، دولت ترامپ دستور منع استفاده از TikTok و سرویس دیگری با منشا چینی مانند WeChat را به دلیل وجود چنین خطراتی صادر کرد. گرچه بعداً دادگاه آمریكا مانع اجرای این تصمیم شد.

در حالی که TikTok در حال حاضر حجم گسترده ای از داده ها را به طور خودکار از کاربران جمع آوری می کند، تغییرات اخیر ممکن است باعث نگرانی کاربران بشود. این بدین دلیل است که در حال حاضر تعداد بسیار معدودی از ایالت های ایالات متحده قوانین کافی حاکم بر داده های و مسائل بیومتریک دارند. در حقیقت بسیاری از ایالت های ایالات متحده هنوز از امکان اجرای قوانین حریم خصوصی اطلاعات گسترده برای مردم برخوردار نیستند.

در این شرایط، بیانیه TikTok با اشاره به "جایی که قانون لازم بداند" نشان می دهد که با توجه به عدم وجود مقررات دقیق، چگونه شهروندان در اکثرا ایالتهای ایالات متحده و نیز دیگر کشورها از این آسیب پذیری لطمه خواهند خورد.

با این حال، حتی اگر شرکت تیک تاک، همانطور که متعهد شده است، به دنبال اخذ رضایت کاربران برای جمع آوری این اطلاعات باشد، ممکن است این مورد یک سناریوی "پذیرش یا عدم امکان استفاده" باشد. قبل تر نیز دیده ایم که چگونه به روزرسانی فیس بوک در سیاست حفظ حریم خصوصی WhatsApp کاربران را مجبور به موافقت با شرایط خدمات جدید می کند. اگرچه این غول فناوری (فیسبوک) اخیراً موضع خود را در مورد حذف کاربران غیر موافق تغییر داده است. با این حال، ما هنوز نمی دانیم مانند کاری که تیک تاک انجام داد، آیا در آینده بروزرسانی های مخفیانه جدیدی توسط این مجموعه به ساختار برنامه افزوده خواهد شد یا خیر.