美国-与 TikTok 间的拉扯仍在持续,尽管总统川普对 TikTok 的指控仍未证实,只是从《华尔街日报》最新揭露内容来看,怀疑似乎其来有自。
《华尔街日报》最近针对多版本 TikTok 分析发现,TikTok 利用技术漏洞从 Android 装置收集用户的 MAC 位址长达 15 个月之久,而这明显违反了 Google 政策。
MAC 位址是国际组织配发给合法生产网卡的独一无二编号,在手机通常会与装置绑在一起,使用者无法透过一般手段更改,因此 MAC 位址也经常用于寻找遭窃或遗失的行动装置。
由于 MAC 位址的特殊性,苹果在 2013 年公布 MAC 位址收集的限制,Google 也在 2015 年祭出同样条款,但显然还是有漏洞可钻。
《华尔街日报》发现,TikTok 利用一个未修补安全漏洞收集 Android 使用者的 MAC 位址,之后再与其他数据(如广告 ID)绑在一起,不仅未告知用户正在收集资讯,也完全没有提供用户任何退出的选择。
尽管 TikTok 用户可自由选择重新设定广告 ID,但与 MAC 位址的绑定间接等于让功能变成装饰,这也等于违反 Google 禁止 App 在未经“用户明确同意”时将广告 ID 连结到任何永久标记性符号的政策。
尽管这不是骇客等级行为,但收集 MAC 位址的行为仍使美国官方原先仅是“理论”上的指控更引人担忧。调查报告指出,TikTok 母公司字节跳动(ByteDance)还使用自订加密,将捆绑的数据传回服务器,这措施很可能是防止苹果或 Google 注意到此违反政策的行为。
值得一提,除了 MAC 位址,TikTok 似乎没有收集其他特殊资讯,收集时也都遵照隐私权政策,使用过程有征得用户同意。
在此之前,字节跳动曾坚称不会将美国收集的用户数据发送到中国,若以此项论点为基础,收集 MAC 位址的最简单解释很可能是看上利润丰厚的广告业务。
TikTok 于 2019 年 11 月已停止这种做法,时间点正好是在传出美国将对 TikTok 国安审查的一星期后,可想见他们或许理解到不论使用 MAC 数据的实际方式为何,结果都不会太好,收集年轻使用者数据更可能牵涉《儿童线上隐私保护法》,让事情更复杂。
- TikTok collected device identifiers for over a year in violation of Android policies
- Report: TikTok Collected Persistent IDs From Android Phones in Apparent Violation of Google Policy
(首图来源:shutterstock)
