華爾街日報: TikTok 曾繞過私隱保護措施追蹤用戶行為

《華爾街日報》分析指, TikTok 曾經在手機操作系統 Android 中避開了 Google 的私隱保護措施,從用戶收集獨一無二的「媒體存取控制位址」 (MAC address) ,追蹤用戶的活動,但無主動通知用戶有該做法,用戶也不能主動要求 TikTok 取消收集該資料。

有手機專家表示, TikTok 通過不尋常的附加加密層隱藏該功能,做法似乎違反 Google 限制應用程序追踪用戶的政策,且無向 TikTok 用戶公開。

TikTok 收集數據至少 15 個月

根據《華爾街日報》的測試, TikTok 至少有 15 個月收集該些用以識別用戶的媒體存取控制位址,直至去年 11 月 18 日發布更新才中止做法,當時字節跳動受華府的嚴格審查。

《華爾街日報》指, TikTok 將媒體存取控制位址與其他設備數據綑綁在一起,數據會在首次安裝,或首次打開程式時,發送到字節跳動。綑綁的數據包含設備的廣告 ID ,該 ID 是個 32 位數字的編碼,容許廣告客戶追踪消費者行為,同時為用戶提供某種程度的匿名性並控制其訊息。

注重私隱的用戶可從設備中重置該廣告 ID ,操作大致等同於瀏覽器中清除 Cookie 。不過,使用不變的媒體存取控制位址令字節跳動可將舊的廣告 ID 與新的廣告 ID 相連接,但 Google 早已禁止此做法。

其他美國科企限制使用媒體存取控制位址

媒體存取控制位址最常用於廣告定向投放,因為該個 12 位數字碼通常無法重置或更改,使手機程式製造商和第三方分析公司可建立消費者行為的概況,並不受用戶用新手機而無法追蹤。

蘋果公司在 2013 年鎖定了 iPhone 的媒體存取控制位址,從而阻止第三方程式讀取該碼。兩年後, Google 亦在 Android 中有同樣做法,不過 《華爾街日報》的測試顯示, TikTok 有方法繞過 Android 上的限制,獲取媒體存取控制位址。

專家指, Android 上的媒體存取控制位址漏洞人所共知,但很少人會使用該漏洞。

TikTok: 致力保護私隱和安全

美國政府過去曾指控 TikTok 有收集可能被用來協助中國政府追踪美國政府僱員或承包商的數據,用以勒索或進行間諜活動,但 TikTok 母公司字節跳動一直否認會與中國政府分享數據。

TikTok 今年較早前曾指,其收集的個人數據少於 Facebook 和 Google 等美國科技企業,但並無回應《華爾街日報》的問題。發言人在一份聲明中表示,該公司「致力保護 TikTok 社區的私隱和安全」,並稱會不斷更新應用程式,以應對不斷出現的安全挑戰,強調現時版本不會收集媒體存取控制位址。

大多數主要的手機應用程式都有收集用戶一系列數據,但數據收集因公司而異。

根據手機程式分析公司 AppCensus 於 2018 年進行的研究,約有 1%  Android 應用程式有收集媒體存取控制位址。

Google 發言人表示,該公司正在了解《華爾街日報》的測試結果,並拒絕評論允許某些程式收集媒體存取控制位址的漏洞。

美國總統特朗普早前簽署行政命令,禁止任何美國公司或個人與 TikTok 母公司字節跳動交易,如果字節跳動未能出售 TikTok 就會被禁止在美國營運,而微軟據報正洽商收購 TikTok 的全球業務,預期交易於 9 月 15 日或之前完成;微軟亦拒絕回應《華爾街日報》的測試。

《華爾街日報》的測試再次證明本年 4 月 Reddit 用戶 bangorlol 的說法正確。該位網民成功對 TikTok 進行逆向工程分析,強烈建議所有人不要再使用該程式,並警告其有侵入性的用戶追踪和其他安全問題,所有電話聯絡人、你使用哪些應用程式,甚至是電話硬件數據與 wifi 連接點名字的資料都會被字節跳動獲取,形容 TikTok 是「數據收集服務」,而非所謂的社交媒體。

文/Alan Chiu

編輯推介

    發表意見