藏不住了!TikTok追踪用户数据锤实了!

分析发现,TikTok避开了谷歌Android操作系统的一项隐私保护原则,从数百万部移动设备上收集了唯一识别码,这些数据让该应用程序可在未让用户有退出选择的情况下在线追踪用户。

TikTok收集的称为MAC地址的标识码最常用于广告目的

《华尔街日报》报道,手机安全专家表示,TikTok通过一层不同寻常的额外加密来隐藏了这一做法,该做法似乎违反了谷歌限制应用程序追踪用户的政策,而且并未向TikTok用户披露。该报的测试显示,TikTok已于去年11月停止这种做法。

在发现上述做法之际,TikTok的北京母公司字节跳动(ByteDance Ltd.)正面临来自白宫的压力,白宫担心该应用程序收集的数据将被用来帮助中国政府追踪美国政府雇员或合同工。TikTok则表示该公司不会与中国政府共享数据,且若被要求共享也不会提供。

TikTok收集的识别码称做MAC地址,通常被用于广告目的。白宫之前表示,担心用户数据可能落入中国政府手中,并被用来建立详细的个人档案用于勒索或从事间谍活动。

TikTok未回复细节问题。该公司今年早些时候曾表示,其应用程序收集的个人数据比Facebook Inc. (FB)和Alphabet Inc. (GOOG)等美国公司收集的少。一名发言人在声明中称,该公司致力于保护TikTok社群的隐私和安全,如同同行一样,该公司定期更新应用程序以跟上不断发展的安全挑战。

该公司称,目前的TikTok版本不收集MAC地址。

大多数主要的移动应用都收集关于用户的广泛数据,隐私倡导者长期以来一直认为这样的做法令人担忧,但科技公司对此做出辩护,称这样的做法提供了高度定制的体验和定向广告。具体的数据收集情况因公司而异。

根据移动应用分析公司AppCensus 2018年的一项研究,大约1%的Android应用收集MAC地址。AppCensus就企业的隐私做法提供咨询。

谷歌一位发言人称,该公司正研究《华尔街日报》的上述发现。对于使得一些应用能收集MAC地址的上述漏洞,该发言人不予置评。

川普(Donald Trump)政府对于国家安全的担忧,促使字节跳动与包括微软(Microsoft Co., MSFT)在内的几家有意向的公司探讨出售TikTok美国业务的交易。被问及微软是否知道这一数据收集事宜时,该公司一位发言人不予置评。

该事宜涉及一个12位的媒体访问控制(media access control)地址,简称MAC地址,该地址是移动设备等所有支持互联网的电子产品的唯一号码。

MAC地址不能重置或更改,因此对广告驱动的应用程序用处很大,应用开发商和第三方分析公司可以通过MAC地址建立消费者行为档案,这些档案不受任何隐私措施影响,除非用户更换新手机。联邦贸易委员会(Federal Trade Commission, 简称FTC)之前表示,根据《儿童在线隐私保护法》(Children~q~s Online Privacy Protection Act),MAC地址被视为个人可识别信息。

加拿大卡尔加里大学(University of Calgary)助理教授、AppCensus, Inc.联合创始人Joel Reardon表示,通过这种方式可以长期追踪用户,而用户却躲不开。他表示:“我看不出收集这些数据还有别的什么原因。”

苹果公司(Apple Inc., AAPL)于2013年封锁了iPhone的MAC地址,阻止第三方应用读取该识别码。两年后,谷歌也封锁了Android的MAC地址。《华尔街日报》的测试显示,TikTok绕过了Android的这一限制,使用了一种变通方法,允许应用程序通过较迂回的路线获取MAC地址。

Reardon表示,这个安全漏洞广为人知,只是可能利用的人少。去年6月份,在发现最新版本的Android依然没有修复这个漏洞之后,他就这一问题向谷歌提交了一份正式的缺陷报告。他说:“发现这个漏洞仍然可以加以利用,我非常震惊。”

Reardon的报告主要涉及上述漏洞,没有专门针对TikTok。Reardon称,当他提交错误报告时,谷歌告诉他已经有了类似的报告存档。谷歌不予置评。

《华尔街日报》的测试显示,TikTok收集MAC地址的时间至少有15个月,直到去年11月18日一项更新发布才停止,当时字节跳动正受到华盛顿方面的严密审视。

当TikTok首次在一部新设备上安装和打开时,该应用会将上述MAC地址与该设备的其他数据捆绑在一起并发送给字节跳动。这些捆绑数据中还包括设备的广告ID,这是一个32位的数字,旨在使发布广告的商户能跟踪消费者的行为,同时给予用户一定程度的匿名性和对其信息的控制。

注重隐私的用户可以从设备的设置菜单中重置广告ID,这一操作大致相当于在浏览器中清除cookie。

谷歌的Play Store政策警告开发者,未经用户明确同意,广告识别码不得连接个人身份信息,也不得与任何持久设备识别码(包括MAC地址)相关联。

存储不可更改的MAC地址将使字节跳动可以将旧的广告ID与新的广告ID连接起来,这种策略被称为“ID桥接(ID bridging)”,在谷歌的Play Store上是被禁止的。Reardon说,如果你卸载TikTok,重置广告ID,重新安装TikTok并创建一个新的帐户,该MAC地址将是相同的,你失去了以一个全新的身份重新开始的能力。

据AppCensus称,尽管遭到禁止,但ID桥接的使用依然相当普遍,尤其是在免费游戏应用中。但它很少涉及MAC地址,MAC地址是当前版本Android中可访问的最持久的识别码。

AppCensus在2018年对25,152款流行的支持互联网的Android应用进行了随机研究,发现其中只有347款应用使用Android的这一漏洞发送MAC地址,占比1.4%。在这些应用当中,只有90个同时还传输内置的Android ID;如果设备被重置,Android ID就会改变。

(川普留给TikTok45天的时间)

《华尔街日报》的上述分析证实了4月份被广泛讨论的一篇匿名Reddit帖子中详述的一些行为。该帖指责TikTok向字节跳动服务器传输包括MAC地址在内的多种个人数据。谷歌表示正在调查该帖中的说法。

通过调查2018年4月-2020年1月在Play Store上发布的9个TikTok版本。《华尔街日报》的分析仅限于调查TikTok刚安装进用户设备时所收集的信息,此时用户尚未开始创建账户并接受TikTok服务条款。

测试显示,除了上述MAC地址,TikTok没有为移动应用收集异常多的信息,而且TikTok在其隐私政策和安装时征求用户同意的弹窗中披露了这一信息收集做法。

不太常见的是字节跳动采取的隐藏所取得数据的措施。TikTok将其传输的大部分用户数据隐藏在一个额外的自定义加密层中。

与现今的几乎所有应用一样,TikTok的互联网流量受到网络标准加密协议的保护,因此窃听者不太可能在数据传输过程中窃取信息。国际数字责任委员会(International Digital Accountability Council)的研究员Nathan Good称,这使得TikTok应用于用户数据的额外自定义加密代码似乎并无必要,除非添加它是为了防止设备所有者看到TikTok在做什么。国际数字责任委员会是一个分析应用相关行为的监督性组织。

Good称,TikTok对这些数据的混淆加大了确定该公司在做什么的难度。这一层增加的加密处理让研究人员更难确定TikTok是否遵守了该公司的隐私政策和各种法律。Good表示,据他所知这种加密在商业上并不能实现什么目的。

Reardon称:“它并不能提供任何额外层面的互联网安全保障,但这确实意味着,我们无法了解什么信息被发了出去。”

Okta. Inc. (OKTA)负责网络安全战略的副总裁Marc Rogers称,移动应用程序为防止被竞争对手复制而隐藏部分软件是常见做法,但TikTok的加密似乎并没有隐藏专有秘密。Okta提供帮助用户安全登录互联网的服务。

Rogers表示:“我猜测,他们这么做的原因是为了绕过苹果或谷歌的侦测,因为如果苹果或谷歌看到他们传回这些识别码,这两家公司几乎肯定会拒绝这款应用。”

在被告知《华尔街日报》的上述发现时,密苏里州共和党参议员Josh Hawley在一份声明中称,谷歌应该将TikTok从其平台上移除。Hawley一直对TikTok持批评态度,整体而言他对中国也持强硬立场。

Hawley说,谷歌需要注意该公司的应用商店,TikTok不应该在上面。他表示,如果谷歌告诉用户,在没有该公司同意的情况下,他们不会被跟踪,但却故意允许TikTok等应用程序通过收集持续的识别码来违反其规定,这可能违反了我们的儿童隐私法,他们必须做出一些解释。

声明:该文观点仅代表作者本人,加国头条 属于信息发布平台,加国头条 仅提供信息存储空间服务。

分享新闻到
微信朋友圈
扫描后点
右上角分享

0 Comments

Leave a Comment

Ad

Related Posts: