本文原刊於《華爾街日報》,端傳媒獲授權轉載。目前,《華爾街日報》中文版全部內容僅向付費會員開放,我們強烈推薦您購買/升級成為「端傳媒尊享會員」,以低於原價 70% 的價格,暢讀端傳媒和《華爾街日報》全部內容。
《華爾街日報》(The Wall Street Journal)分析發現,TikTok避開了GoogleAndroid操作系統的一項私隱保護原則,從數百萬部移動設備上收集了唯一識別碼,這些數據讓該應用程式可在未讓用戶有退出選擇的情況下在線追蹤用戶。
手機安全專家表示,TikTok通過一層不同尋常的額外加密來隱藏了這一做法,該做法似乎違反了Google限制應用程式追蹤用戶的政策,而且並未向TikTok用戶披露。《華爾街日報》的測試顯示,TikTok已於去年11月停止這種做法。
在發現上述做法之際,TikTok的北京母公司字節跳動(ByteDance Ltd.)正面臨來自白宮的壓力,白宮擔心該應用程式收集的數據將被用來幫助中國政府追蹤美國政府僱員或合同工。TikTok則表示該公司不會與中國政府共享數據,且若被要求共享也不會提供。
TikTok收集的識別碼稱做MAC地址,通常被用於廣告目的。白宮之前表示,擔心用戶數據可能落入中國政府手中,並被用來建立詳細的個人檔案用於勒索或從事間諜活動。
TikTok未回覆細節問題。該公司今年早些時候曾表示,其應用程式收集的個人數據比Facebook Inc. (FB)和Alphabet Inc. (GOOG)等美國公司收集的少。一名發言人在聲明中稱,該公司致力於保護TikTok社群的私隱和安全,如同同行一樣,該公司定期更新應用程式以跟上不斷發展的安全挑戰。
該公司稱,目前的TikTok版本不收集MAC地址。
大多數主要的移動應用都收集關於用戶的廣泛數據,私隱倡導者長期以來一直認為這樣的做法令人擔憂,但科技公司對此做出辯護,稱這樣的做法提供了高度訂製的體驗和定向廣告。具體的數據收集情況因公司而異。
根據移動應用分析公司AppCensus 2018年的一項研究,大約1%的Android應用收集MAC地址。AppCensus就企業的私隱做法提供諮詢。
Google一位發言人稱,該公司正研究《華爾街日報》的上述發現。對於使得一些應用能收集MAC地址的上述漏洞,該發言人不予置評。
特朗普(Donald Trump)政府對於國家安全的擔憂,促使字節跳動與包括微軟(Microsoft Co., MSFT)在內的幾家有意向的公司探討出售TikTok美國業務的交易。被問及微軟是否知道這一數據收集事宜時,該公司一位發言人不予置評。
該事宜涉及一個12位的媒體訪問控制(media access control)地址,簡稱MAC地址,該地址是移動設備等所有支持互聯網的電子產品的唯一號碼。
MAC地址不能重置或更改,因此對廣告驅動的應用程式用處很大,應用開發商和第三方分析公司可以通過MAC地址建立消費者行為檔案,這些檔案不受任何私隱措施影響,除非用戶更換新手機。聯邦貿易委員會(Federal Trade Commission, 簡稱FTC)之前表示,根據《兒童在線私隱保護法》(Children's Online Privacy Protection Act),MAC地址被視為個人可識別資訊。
加拿大卡爾加里大學(University of Calgary)助理教授、AppCensus, Inc.聯合創始人Joel Reardon表示,通過這種方式可以長期追蹤用戶,而用戶卻躲不開。他表示:「我看不出收集這些數據還有別的什麼原因。」
蘋果公司(Apple Inc., AAPL)於2013年封鎖了iPhone的MAC地址,阻止第三方應用讀取該識別碼。兩年後,Google也封鎖了Android的MAC地址。《華爾街日報》的測試顯示,TikTok繞過了Android的這一限制,使用了一種變通方法,允許應用程式通過較迂迴的路線獲取MAC地址。
Reardon表示,這個安全漏洞廣為人知,只是可能利用的人少。去年6月份,在發現最新版本的Android依然沒有修復這個漏洞之後,他就這一問題向Google提交了一份正式的缺陷報告。他說:「發現這個漏洞仍然可以加以利用,我非常震驚。」
Reardon的報告主要涉及上述漏洞,沒有專門針對TikTok。Reardon稱,當他提交錯誤報告時,Google告訴他已經有了類似的報告存檔。Google不予置評。
《華爾街日報》的測試顯示,TikTok收集MAC地址的時間至少有15個月,直到去年11月18日一項更新發布才停止,當時字節跳動正受到華盛頓方面的嚴密審視。
當TikTok首次在一部新設備上安裝和打開時,該應用會將上述MAC地址與該設備的其他數據捆綁在一起併發送給字節跳動。這些捆綁數據中還包括設備的廣告ID,這是一個32位的數字,旨在使發布廣告的商戶能跟蹤消費者的行為,同時給予用戶一定程度的匿名性和對其資訊的控制。
注重私隱的用戶可以從設備的設置菜單中重置廣告ID,這一操作大致相當於在瀏覽器中清除cookie。
Google的Play Store政策警告開發者,未經用戶明確同意,廣告識別碼不得連接個人身份資訊,也不得與任何持久設備識別碼(包括MAC地址)相關聯。
存儲不可更改的MAC地址將使字節跳動可以將舊的廣告ID與新的廣告ID連接起來,這種策略被稱為「ID橋接(ID bridging)」,在Google的Play Store上是被禁止的。Reardon說,如果你卸載TikTok,重置廣告ID,重新安裝TikTok並創建一個新的帳戶,該MAC地址將是相同的,你失去了以一個全新的身份重新開始的能力。
據AppCensus稱,儘管遭到禁止,但ID橋接的使用依然相當普遍,尤其是在免費遊戲應用中。但它很少涉及MAC地址,MAC地址是當前版本Android中可訪問的最持久的識別碼。
AppCensus在2018年對25,152款流行的支持互聯網的Android應用進行了隨機研究,發現其中只有347款應用使用Android的這一漏洞發送MAC地址,佔比1.4%。在這些應用當中,只有90個同時還傳輸內置的Android ID;如果設備被重置,Android ID就會改變。
《華爾街日報》的上述分析證實了4月份被廣泛討論的一篇匿名Reddit帖子中詳述的一些行為。該帖指責TikTok向字節跳動服務器傳輸包括MAC地址在內的多種個人數據。Google表示正在調查該帖中的說法。
《華爾街日報》調查了2018年4月-2020年1月在Play Store上發布的9個TikTok版本。《華爾街日報》的分析僅限於調查TikTok剛安裝進用戶設備時所收集的資訊,此時用戶尚未開始創建賬戶並接受TikTok服務條款。
《華爾街日報》的測試顯示,除了上述MAC地址,TikTok沒有為移動應用收集異常多的資訊,而且TikTok在其私隱政策和安裝時徵求用戶同意的彈窗中披露了這一資訊收集做法。
不太常見的是字節跳動採取的隱藏所取得數據的措施。TikTok將其傳輸的大部分用戶數據隱藏在一個額外的自定義加密層中。
與現今的幾乎所有應用一樣,TikTok的互聯網流量受到網絡標準加密協議的保護,因此竊聽者不太可能在數據傳輸過程中竊取資訊。國際數字責任委員會(International Digital Accountability Council)的研究員Nathan Good稱,這使得TikTok應用於用戶數據的額外自定義加密代碼似乎並無必要,除非添加它是為了防止設備所有者看到TikTok在做什麼。國際數字責任委員會是一個分析應用相關行為的監督性組織。
Good稱,TikTok對這些數據的混淆加大了確定該公司在做什麼的難度。這一層增加的加密處理讓研究人員更難確定TikTok是否遵守了該公司的私隱政策和各種法律。Good表示,據他所知這種加密在商業上並不能實現什麼目的。
Reardon稱:「它並不能提供任何額外層面的互聯網安全保障,但這確實意味著,我們無法了解什麼資訊被發了出去。」
Okta. Inc. (OKTA)負責網絡安全戰略的副總裁Marc Rogers稱,移動應用程式為防止被競爭對手複製而隱藏部分軟體是常見做法,但TikTok的加密似乎並沒有隱藏專有秘密。Okta提供幫助用戶安全登錄互聯網的服務。
Rogers表示:「我猜測,他們這麼做的原因是為了繞過蘋果或Google的偵測,因為如果蘋果或Google看到他們傳回這些識別碼,這兩家公司幾乎肯定會拒絕這款應用。」
在被告知《華爾街日報》的上述發現時,密蘇里州共和黨參議員Josh Hawley在一份聲明中稱,Google應該將TikTok從其平台上移除。Hawley一直對TikTok持批評態度,整體而言他對中國也持強硬立場。
Hawley說,Google需要注意該公司的應用商店,TikTok不應該在上面。他表示,如果Google告訴用戶,在沒有該公司同意的情況下,他們不會被跟蹤,但卻故意允許TikTok等應用程式通過收集持續的識別碼來違反其規定,這可能違反了我們的兒童私隱法,他們必須做出一些解釋。