Er TikTok farlig?

Eller Deepseek, eller AliExpress? Eller Facebook og LinkedIn, for den sakens skyld? Dette er jo spørsmål som er dagsaktuelle, men hvordan kan man gjøre en strukturert analyse av dette? Jeg har tidligere beskrevet hvordan en #risikovurdering må bygge på en presis modell av systemet man skal analysere og en #verdivurdering som beskriver informasjonen som skal beskyttes og konsekvenser av sikkerhetsbrudd. Her vil jeg bruke en app på telefonen som eksempel på hvordan denne metodikken kan anvendes i praksis. 

• Tips for effektive risikovurderinger
• Hva er informasjonsklassifisering
• Hva er zero trust

1: Systemramme 

TikTok kjører som en "app" på telefonen. Der får den tilgang til ulike tjenester telefonen tilbyr, som lagring, posisjon, nettverkstilgang, og potensielt kamera og mikrofon. I tillegg får den input fra deg som bruker ved at du trykker på skjermen. 

Et eksempel på en modell for dette kan du se under: 

Legg merke til den røde rammen, det er systemrammen: det vi ønsker å beskytte er innenfor denne rammen. TikTok, i denne sammenhengen, er en trussel på utsiden av rammen, og vi ønsker vurdere hvilken risiko vår informasjon (på innsiden av rammen, i tillegg til alt vi gir TikTok direkte som bruker) er eksponert mot ved å installere TikTok på telefonen. 

2: Verdivurdering 

La oss dele dette i to: 

For det første er det all informasjon du frivillig gir til TikTok som bruker. Dette er en detaljert profil av hva du liker, hva du misliker, hva som engasjerer deg og hva du er likegyldig til. I tillegg er det detaljert informasjon om når på døgnet du bruker tiktok, hvor du er og hvem du kommuniserer med. Dette er potensielt ganske sensitiv informasjon, men ikke noe værre enn hva vi gir alle andre tjenester for kommunikasjon og samhandling. Hvis denne informasjonen er feil eller ikke tilgjengelig vil det føre til at TikTok oppfører seg rart eller gir deg irrelevante annonser, men utover det er kanskje ikke skaden så stor. La oss kalle dette informasjonsklasse A. 

Merk at selv om du ikke gir en app tilgang til posisjonsinformasjon på telefonen så vet den fortsatt hvilken IP-adresse du har. En IP-adresse er som et slags telefonnummer på internett, det er umulig å kommunisere på internett uten at motparten kjenner din IP-adresse. IP-adressen kan med en viss grad av nøyaktighet si hvor du er, om du er logget på hjemmefra, fra jobb eller via 5G, og hvis du er på jobb: hvilken arbeidsgiver du har. 

Men så har vi også all annen informasjon på telefonen eller som telefonen har tilgang til: avtaler, kontaktliste, notater, detaljert posisjon gjennom hele døgnet, alle enheter koblet til nettverket ditt, og gjennom det hvem du er sammen med. Dette kan være informasjonsklasse B. 

Hvis informasjon i klasse B kommer på avveie vil det i beste fall være pinlig. Hvis noen ønsker å bruke dette til å skade deg er det ikke grenser for hva de kan få til. Om denne informasjonen er feil eller ikke tilgjengelig kan det få store konsekvenser. Vi lever hele livet gjennom mobiltelefonen, og hvis du plukker opp telefonen for å vite hvor neste møte skal være, når en kollega har bursdag, handlelisten, eller for å ringe moren din for å gratulere med morsdagen, så antar du at informasjon på telefonen ikke er endret av uvedkommende. Hvis du bare har mistanke om at informasjon er feil, den trenger ikke en gang å være feil, så vil livet plutselig bli ganske mye mer kronglete. Det er nok ikke katastrofalt, livet går videre, men ganske alvorlig. 

Konklusjonen så langt er altså at hvis vi skal vurdere informasjonssikkerhetsverdier på en skala 1-5 kan det se feks slik ut: 

• Informasjon du (mer eller mindre) frivillig gir til TikTok: 

• • konfidensialitet (konsekvens av informasjon på avveie): 3 

• • integritet (konsekvens av feil): 1 

• • tilgjengelighet (konsekvens av at noe ikke virker): 1 

• All annen informasjon på telefonen: 

• • konfidensialitet: 5 

• • integritet: 4 

• • tilgjengelighet: 4 
    
    

3: Trusselmodell 

Her begynner det å bli interessant. Moderne operativsystem (og spesielt det som kjører på telefoner og nettbrett) er laget etter en "zero trust"-modell. Dette betyr at operativsystemet er designet utfra en antagelse om at applikasjoner ikke er til å stole på og begrenser tilganger mest mulig. Dette merker du på telefonen ved at du eksplisitt må gi app-er tilgang til feks posisjon eller bildearkiv. På en iPhone kan det se ut som på bildet under. 

Her er det naturlig å se på to ulike varianter som henger sammen med de to gruppene informasjon beskrevet i verdivurderingen over. 

1. Vi antar at telefonen sin sikkerhetsmodell holder vann, og TikTok bare får lov å gjøre det vi eksplisitt gir den lov til. Altså at TikTok får tak i all informasjon du frivillig gir den som bruker. 
2. Det finnes sårbarheter i telefonen som TikTok bevisst utnytter for å få tak i mer informasjon enn den skulle hatt. Altså at TikTok potensielt får tilgang til all informasjon på telefonen. 

I begge tilfelle kan du anta at alt TikTok har på telefonen, det lagres også i TikTok-cloud. Litt avhengig av hvilke konspirasjonsteorier du hører på kan det hende kinesiske myndigheter i praksis har full tilgang til dette, og det kan hende de bruker dette til å systematisk overvåke deg. 

4: Risikoscenarier 

Det er få personer i verden (også innenfor Apple, Google og Samsung) som har nok kjennskap til telefonen til å kunne gjøre en detaljert teknisk vurdering av hva som er potensielle sårbarheter og sannsynligheten for disse. Men det trenger vi heller ikke for å finne noen scenarier som er relevante. 

Egentlig koker ned ned til to: 

Scenario 1: all informasjon du (mer eller mindre) frivillig har oppgitt havner i TikTok-skyen. Sannsynligheten for det er 100%. Konsekvensen: "det kommer an på". 

Scenario 2: all annen informasjon på telefonen havner i TikTok-skyen. Sannsynligheten her er langt mindre. Det kan vi utbrodere litt: 

• Hvis du passer på å holde telefonen oppdatert til nyeste versjon finnes det ingen /kjente/ sårbarheter som gjør at en app får tilgang til andre data enn den skal, men du kan regne med at det finnes noen /ukjente/. (Hver ny versjon av operativsystemet retter feil som har blitt oppdaget siden sist, du kan regne med at dette kommer til å fortsette). Dette kalles en "0-dags-sårbarhet", fordi det har gått 0 dager fra den ble oppdaget (fordi den er ikke oppdaget ennå...). 

Men her er det tre vurderinger man kan gjøre: 

• hva er sannsynligheten for at (feks) kinesiske myndigheter kjenner til 0-dagssårbarheter i moderne telefoner? (Denne vil jeg anslå er ganske høy, det er mange smarte folk i Kina) 

• hvis de kjenner til en slik og de forsøker å lage en app som utnytter en slik sårbarhet, hva er sannsynligheten for at denne slipper gjennom Apple eller Google sin kvalitetskontroll? Denne sannsynligheten er nok større enn 0, men vi kan anta at med all oppmerksomheten som er rundt dette har de litt ekstra sjekk av akkurat TikTok. Det er rimelig å anta at kontrollene er bedre jo mer populær en app er. 

• hvis de kjenner en slik sårbarhet, programmerer TikTok til å utnytte den, og dette blir ikke oppdaget i Apple/Google sin kvalitetskontroll: hva er sannsynligheten for at de bruker den til å overvåke akkurat deg? Den vil jeg påstå er ganske liten. En slik 0-dags-sårbarhet har ekstremt stor verdi så en angriper som sitter på en slik vil anstrenge seg hardt for å holde den hemmelig. Hvis man bruker den til å systematisk overvåke alle TikTok-brukere i hele verden er sannsynligheten stor for at de blir oppdaget, og det er en risiko de neppe er villig til å ta. 

Så basert på dette er min konklusjon at sannsynligheten for at jeg blir utsatt for trussel 2 veldig lav. Konsekvensen kan dog være høy, og total risiko er sannsynlighet ganger konsekvens. 

5: Konklusjoner 

Dette er kanskje et banalt eksempel, men det viser hvordan man kan bruke en risikovurdering til å ta informerte beslutninger: 

• Som bruker av TikTok tar du et aktivt valg om hvilken informasjon du legger inn i "klasse A": får den tilgang til kontaktlisten? Tilgang til bilder? Hvilke bilder? Kamera? Telefon? "Ja" på noen av disse spørsmålene gir mer informasjon som lekker ut i risikoscenario 1, og øker konsekvensen. 

• Hva som er "akseptabel risiko" er ikke en absolutt skala. Risiko må hele tiden ses som en kostnad som må balanseres mot nytte. Hvis du ikke gir TikTok tilgang til bilder, kamera eller mikrofon kan du bare bruke TikTok som passiv observatør, ikke som innholdsskaper. Du reduserer risiko, men du reduserer også nytte, hvor synes du grensen går for deg? 

• Hvorvidt konsekvensen av scenario 2 er stor nok til at risikoen er uakseptabel, på tross av lav sannsynlighet, er kanskje avhengig av hvem du er. Hvis du sitter i regjering er både sannsynligheten for at en angriper ønsker bruke en 0-dags-sårbarhet, og konsekvensen om det skjer, mye større enn hvis du er lagerarbeider i en dagligvarekjede. 

• Du har mulighet til å påvirke både hvilken informasjon som er i klasse A (hva du bevisst gir til TikTok) og hva som er i klasse B (hva som finnes på telefonen). Hvis du vil være på TikTok men også bruker telefonen til informasjon som absolutt ikke må komme på avveie kan du ha to telefoner, og sørge for at den usikre telefonen ligger igjen hjemme når du reiser et sted du ikke vil at noen skal kunne overvåke deg. 

Så trenger vi være redd for TikTok? Det kommer an på. Poenget med dette er å gi deg verktøy for å vurdere dette selv. Akkurat for apper du installerer på telefonen er kanskje ikke dette så viktig, men kvaliteten på slike vurderinger blir bedre med trening så det er mye å hente på å vende seg til å alltid gjøre dette systematisk. 

Men husk også at mange andre app-er samler inn data om deg, og det skjer ganske ofte at slike data kommer på avveie. Hver gang dette er oppe i media blir vi litt overrasket over hvor mye data som samles inn, av aktører vi ikke en gang har hørt om. Så hvis noen ønsker å lage en profil på deg trenger de ikke utnytte 0-dags-sårbarheter i telefonen din, de kan bare kjøpe en data-dump på det mørke nettet. 

Det finnes også en helt annen trussel knyttet til TikTok, som er forklaringen på hvorfor USA og andre land diskuterer å forby den: nemlig at den utgjør et så effektivt kommunikasjonsmiddel at man frykter den kan brukes til å spre desinformasjon eller påvirke opinionen på uheldige måter. Men en analyse av denne risikoen er ikke mulig med modellen jeg har presentert over, det krever helt andre verktøy og kompetanse fra andre fagområder.