Senise info põhjal tundus, et TikTok on pigem süütu kannataja. Trump nõudis, et kui see menukas lühivideo-äpp tahab USAs edasi tegutseda, peab selle ära ostma mõni USA firma ja maksuamet peab tehingult oma magusa pirukatüki saama.

Wall Street Journali hiljutisest pikemast artiklist selgub aga, et TikTok tõepoolest luuras kasutajate järel. Mitte ainult nutiseadme vahemälu lugedes, mida teevad uskumatult paljud äpid, vaid sellisel pahaendelisemal, keelatud ja krüpteeringuga varjatud moel.

TikTok tegeles sellise luuramisega vähemalt 15 kuud ja lõpetas selle tarkvarauuenduse teel mullu 18. novembril, kui USA valitsuse esindajad hakkasid asja vastu kõrgendatud huvi tundma.

Täpsemalt on jutt MAC-aadresside kogumisest, mis on digireklaamitöösturitele magus info.

Selles, et paljud äpid usinalt kasutajate kohta andmeid koguvad, pole midagi uut. Firma AppCensus tunamulluses uuringus selgus, et konkreetselt MAC-aadresse kogub vaid umbes 1% Androidi äppidest. Google’i poes Play Store on ligi kolm miljonit Androidi äppi, seega võib eeldada, et MAC-e jahtivate äppide arv ulatub ka praegu kümnetesse tuhandetesse.

MAC-aadress on iga internetikõlbuliku seadme unikaalne 12-kohaline number, mille järgi seda ära tunda. See on digireklaaminduses nii ihaldusväärne info, kuna seda ei saa nullida ega muuta – lühidalt pikaajaline jälgimine ilma kasutajapoolse võimaluseta sellest loobuda.

USA-s loetakse MAC-aadressid isikuandmete alla. Apple muutis nutiseadmete MAC-aadressid 2013. aastal kolmandatele osapooltele varjatuks, Google tegi Androidis sama 2015. aastal. TikTok kasutas sellest möödahiilimiseks Androidi turvaauku, mille turvaasjatundjad avastasid juba mullu juunis, aga mida Google veel seni sulgenud pole.

TikToki poolt kasutatud keelatud võte oli ID-sildamine (ingl ID bridging). Äpp sidus MAC-aadressi muu seadet puudutava infoga ja saatis Bytedance’ile. Kui siis kasutaja seadet vahetas ja TikToki sinnagi paigaldas, sai tema kohta andmeid koguda ka pärast seadmevahetust.

Google Play Store ei luba aga reklaami jaoks loodud kasutajaandmete-profiili siduda isikut või seadet kindlaks tegeva infoga nagu MAC-aadress, kui kasutaja pole selleks nõusolekut andnud.

Kuigi ID-sildamine on Androidi äppidele keelatud, on see AppCensusi osutusel siiski levinud, eriti mobiilimängudes. MAC-aadressi kui püsivaimat isikutuvastusvahendit need üldiselt aga ei jahi. Tunamulluse juhu-uuringu põhjal jäi sellega vahele vaid 347 äppi enam kui 25 000-st.

WSJ lasi analüüsida üheksat TikToki väljalaset, mis muutusid Google Play Store’is kättesaadavaks alates 2018. aasta aprillist kuni 2020. aasta jaanuarini.

Selgus, et kui MAC-aadressid kõrvale jätta, siis TikTok ebatavaliselt palju kasutajainfot ei kogu ning küsib selleks ka kasutajalt luba.

Ebatavalisem on Bytedance’i otsus enamik kogutud kasutajainfot krüpteerida. See teeb keeruliseks mõista, mis on andmekogujate kavatsused – ega ettevõte ei riku privaatsusnõudeid ja seadusi.

Teisteski äppides võib krüpteeritud osi olla, et konkurendid midagi väärtuslikku kopeerida ei üritaks, aga TikTokis leiduv krüpteering ei paista midagi sellist varjavat. WSJ-ga kõnelenud asjatundja usub, et see peitmine oligi Apple’i ja Google’i eksitamiseks, kes on oma poodides levitatud äppide puhul täpselt paika pannud, et milliseid andmeid ja kuidas koguda võib.

TikToki käigushoidja firma Bytedance on kinnitanud, et ei jaga kogutud andmeid Hiina valitsusega ega teeks seda ka küsimise peale. Ja meenutanud, et ameeriklaste oma firmad, näiteks Google ja Facebook, koguvad oma kasutajate kohta palju rohkem andmeid.

Viimane on muidugi õige. Jultunud ja pahatihti keelatud viisil andmekogumine on moodsa digielu lahutamatu osa.