Huoli TikTokin tietoturvasta on jälleen noussut otsikoihin sen jälkeen, kun tietoturvatutkija Felix Krause julkaisi havaintonsa seurantakoodista TikTokin mobiilisovelluksen sisäisessä selaimessa. Aihetta ovat käsitelleet mm. Forbes, The New York Times, Vice ja suomeksi Helsingin Sanomat. Hätäisimmät ovatkin jo kehottaneet poistamaan koko TikTok-sovelluksen ja Sitra on kieltänyt sen laitteiltaan. Mistä on kyse, mitä tämä tarkoittaa markkinoijan näkökulmasta ja onko TikTok edelleen turvallinen alusta mainostaa?
Vaara piilee sovelluksen sisäisessä selaimessa
TikTokin tuorein tietoturvakohu liittyy sovelluksen sisäiseen selaimeen. Huolia TikTokin datankeruusta on toki noussut esiin jo aiemminkin, TikTok-sovellusta on vaadittu poistettavaksi sovelluskaupoista ja TikTokin tietoturvasta, käyttäjistä kerätyn tiedon väärinkäytöstä ja mahdollisesta käyttämisestä vakoiluun on puhuttu jo vuosia.
Sovelluksen sisäistä selainta käytetään, kun käyttäjä klikkaa mainoksessa tai profiilissa olevaa linkkiä ja siirtyy verkkosivulle. Toisin kuin mm. Facebookin, Instagramin ja Twitterin sovelluksissa, TikTok ei tarjoa mahdollisuutta avata linkkiä puhelimen omaan selaimeen, esim. Chromeen tai Safariin*. Käyttäjä on siis pakotettu käyttämään TikTokin sisäistä selainta. Ja tästä selaimesta on nyt paljastunut seurannan mahdollistavaa ohjelmistokoodia.
Paljastunut seurantakoodi on Felix Krausen mukaan luonteeltaan sellainen, että se voi lukea kaiken käyttäjän toiminnan selaimessa, olipa kyse linkkien klikkaamisesta tai tekstin syöttämisestä lomakkeille. TikTok voi siis seurata kaikkea selaimeen syötettyä sisältöä, mukaan lukien käyttäjän sensitiiviset tiedot. Näin ollen, jos käyttäjä klikkaa linkkiä TikTok-sovelluksessa ja päätyy esim. verkkokauppaan tekemään tilausta tai verkkosivujen sisäänkirjautumiseen, kaikki henkilötiedot, luottokorttitiedot ja salasanat voivat päätyä TikTokille. Mikäli käyttäjä klikkaa linkkien kautta itsensä edelleen esim. verkkopankkiinsa, myös sen tiedot voivat päätyä vääriin käsiin.
Niin kauan, kun nettiä käytetään sovelluksen sisäisessä selaimessa, mikään ei ole salassa.
TikTok itse kiistää seuraavansa käyttäjiään ja väittää, että koodia käytetään vain sovelluksen toiminnan optimointia, vikatilanteiden selvittämistä ja bugien etsimistä varten. Forbesille ja MacRumorsille antamissaan lausunnoissa TikTok puolustelee koodia lisäksi sillä, että se on peräisin kolmannen osapuolen SDK-sovelluskirjastosta. Krause kuitenkin tähdentää, että seurantakoodi ei ilmesty sovellukseen vahingossa, vaan sen lisäämiseen on täytynyt nähdä erikseen vaivaa. Kukaan (paitsi TikTok itse) ei todella tiedä, kerätäänkö dataa vai ei ja mihin sitä käytetään, jos sitä kerätään. Mahdollisuus datan keräämiseen ja hyödyntämiseen on kuitenkin olemassa, sillä koodi on selaimessa ja seuranta näin ollen TikTokin käytössä heidän niin halutessaan.
TikTok ei suinkaan ole aiheen parissa yksin. Kaikilla muillakin selaimen sisältävillä sovelluksilla on mahdollisuus täysin vastaavaan seurantaan kuin TikTokilla. Krause löysi myös Instagramin ja Facebookin sovelluksista koodia, joka seuraa painikkeiden klikkauksia, mutta ei kuitenkaan tallenna syötettyä tekstiä. Vaikka muista sosiaalisen median sovelluksista ei paljastunutkaan yhtä vaarallista seurantakoodia kuin TikTokista, on mahdollista, että niiden koodi on vain paremmin piilotettu. Krausen käyttämä tutkimusmenetelmä ei ole aukoton, minkä hän myös itse huomioi.
Näin ollen on suositeltavaa aina käyttää puhelimen omaa selainta sovelluksen sisäisen selaimen sijaan.
Apua! Brändilläni on mainoksia TikTokissa! Tuleeko olla huolissaan?
Viime kädessä vastuu puhelimen ja siihen asennettujen sovellusten käytöstä on tietysti käyttäjällä itsellään. Markkinoijalla voidaan kuitenkin katsoa olevan vähintäänkin moraalinen vastuu siitä, että mainoksissa olevat linkit eivät suotta altista käyttäjiä tietoturvahyökkäyksille.
Markkinoijan akuutti reagoinnin tarve riippuu täysin siitä, millaisessa roolissa TikTok on mediamixissä. Mikäli TikTokia käytetään lähinnä mainospintana, videosisällön jakeluun, brändin tunnetuksi tekemiseen tai tuotteiden esittelyyn sovelluksen sisällä, minkään ei tarvitse muuttua aiempaan nähden. Niissä tapauksissa, joissa TikTok-markkinoinnin tavoitteena on ohjata käyttäjä eteenpäin verkkosivuille, tulee noudattaa suurempaa varovaisuutta. Erityisen suurta huolta tulee tuntea, mikäli TikTokista ohjataan verkkokauppaan tai sisäänkirjautumisen sisältäville sivuille. Tällöin TikTokin käyttöä kannattaa kyseenalaistaa.
Vastuullisen markkinoijan ei kannata ottaa pientäkään riskiä, että asiakkaiden maksutiedot tai henkilötiedot päätyisivät vääriin käsiin.
Asian tiedostaminen, ymmärtäminen ja riskitason analysointi on avaintekijä päätösten tekemiseen. Markkinointia TikTokissa ei tämän kohun vuoksi ole syytä keskeyttää, mikäli mainoksissa ei ole linkkejä tai ne eivät johda paikkaan, jossa kysytään asiakkaalta sensitiivistä informaatiota. Toki sivulta ulos johtavien linkkien ketjun kautta voi päätyä edelleen vaikka sinne verkkopankkiin, mutta mahdollisuus tähän on kuitenkin kovin pieni.
Täysin oma lukunsa on mielikuva, joka syntyy mainostamisesta kohun keskellä olevalla alustalla. Turvattomaksi koetulla sovelluksella voi olla negatiivinen vaikutus myös sen avulla mainostettavaan brändiin. Tämä riski jokaisen markkinoijan tulee arvioida tapauskohtaisesti oman brändinsä näkökulmasta. Markkinoijan tulee vähintäänkin varautua vastaamaan asiakkailtaan tuleviin kysymyksiin aiheesta ja kouluttaa asiakasrajapinnassa toimiva henkilökuntansa tunnistamaan tämän aihepiirin olennaisimmat kysymykset. Koulutustarve ei koske ainoastaan TikTokia vaan yhtä lailla muita sosiaalisen median alustoja, verkkosivuja ja niiden tietoturvaa. Harkinta eri mainosalustojen välillä ja niiden erityispiirteiden tuntemus toisaalta ei ole markkinoijalle mitään uutta.
Mitä jäi käteen? Voisiko joku selittää?
Selaimet ja seurantakoodit saattavat tuntua hankalilta sisäistää, mutta markkinoijaa kiinnostava tieto on kiteytettävissä kahteen pointtiin:
- TikTokin viimeisin tietoturvakohu koskee ainoastaan linkkejä, jotka avataan sovelluksen sisäiseen selaimeen. TikTok pystyy halutessaan seuraamaan kaikkea selaimen käyttöä. TikTok-videoiden katselu ei ole sen turvattomampaa kuin aiemminkaan.
- Jos mainostat TikTokissa, älä ohjaa käyttäjiä linkillä ainakaan verkkokauppaan tai sivuille, joissa syötetään luottokorttitietoja tai salasanoja.
Ja samalla kun sosiaalisen median tietoturvasta puhutaan, muista huolehtia, että käytät kirjautuessasi kaksivaiheista tunnistautumista ja tarkista vinkit tietoturvalliseen yrityskäyttöön. Kristiinan blogiartikkelin avulla syvennyt TikTok-markkinointiin laajemmin ja Emilian blogijutusta opit ymmärtämään TikTokin ja SnapChatin eron.
Muista myös webinaarimme TikTokista yrityskäytössä, jossa pääset oppimaan lisää TikTokista yritysten ja organisaatioiden näkökulmasta. Se toteutetaan seuraavan kerran 26.1. klo 9-12!
*Päivitys 24.11.2022: Viimeisimmässä TikTok-sovelluksen versiossa on lisätty mahdollisuus avata linkki puhelimen omaan selaimeen. Toiminto löytyy sovelluksen sisäisen selaimen oikeasta yläkulmasta kolme pistettä -kuvakkeen takaa.