立場新聞 Stand News

華爾街日報: TikTok 曾繞過私隱保護措施追蹤用戶行為

2020/8/12 — 12:09

《華爾街日報》分析指, TikTok 曾經在手機操作系統 Android 中避開了 Google 的私隱保護措施,從用戶收集獨一無二的「媒體存取控制位址」 (MAC address) ,追蹤用戶的活動,但無主動通知用戶有該做法,用戶也不能主動要求 TikTok 取消收集該資料。

有手機專家表示, TikTok 通過不尋常的附加加密層隱藏該功能,做法似乎違反 Google 限制應用程序追踪用戶的政策,且無向 TikTok 用戶公開。

TikTok 收集數據至少 15 個月

廣告

根據《華爾街日報》的測試, TikTok 至少有 15 個月收集該些用以識別用戶的媒體存取控制位址,直至去年 11 月 18 日發布更新才中止做法,當時字節跳動受華府的嚴格審查。

《華爾街日報》指, TikTok 將媒體存取控制位址與其他設備數據綑綁在一起,數據會在首次安裝,或首次打開程式時,發送到字節跳動。綑綁的數據包含設備的廣告 ID ,該 ID 是個 32 位數字的編碼,容許廣告客戶追踪消費者行為,同時為用戶提供某種程度的匿名性並控制其訊息。

廣告

注重私隱的用戶可從設備中重置該廣告 ID ,操作大致等同於瀏覽器中清除 Cookie 。不過,使用不變的媒體存取控制位址令字節跳動可將舊的廣告 ID 與新的廣告 ID 相連接,但 Google 早已禁止此做法。

其他美國科企限制使用媒體存取控制位址

媒體存取控制位址最常用於廣告定向投放,因為該個 12 位數字碼通常無法重置或更改,使手機程式製造商和第三方分析公司可建立消費者行為的概況,並不受用戶用新手機而無法追蹤。

蘋果公司在 2013 年鎖定了 iPhone 的媒體存取控制位址,從而阻止第三方程式讀取該碼。兩年後, Google 亦在 Android 中有同樣做法,不過 《華爾街日報》的測試顯示, TikTok 有方法繞過 Android 上的限制,獲取媒體存取控制位址。

專家指, Android 上的媒體存取控制位址漏洞人所共知,但很少人會使用該漏洞。

TikTok: 致力保護私隱和安全

美國政府過去曾指控 TikTok 有收集可能被用來協助中國政府追踪美國政府僱員或承包商的數據,用以勒索或進行間諜活動,但 TikTok 母公司字節跳動一直否認會與中國政府分享數據。

TikTok 今年較早前曾指,其收集的個人數據少於 Facebook 和 Google 等美國科技企業,但並無回應《華爾街日報》的問題。發言人在一份聲明中表示,該公司「致力保護 TikTok 社區的私隱和安全」,並稱會不斷更新應用程式,以應對不斷出現的安全挑戰,強調現時版本不會收集媒體存取控制位址。

大多數主要的手機應用程式都有收集用戶一系列數據,但數據收集因公司而異。

根據手機程式分析公司 AppCensus 於 2018 年進行的研究,約有 1%  Android 應用程式有收集媒體存取控制位址。

Google 發言人表示,該公司正在了解《華爾街日報》的測試結果,並拒絕評論允許某些程式收集媒體存取控制位址的漏洞。

美國總統特朗普早前簽署行政命令,禁止任何美國公司或個人與 TikTok 母公司字節跳動交易,如果字節跳動未能出售 TikTok 就會被禁止在美國營運,而微軟據報正洽商收購 TikTok 的全球業務,預期交易於 9 月 15 日或之前完成;微軟亦拒絕回應《華爾街日報》的測試。

《華爾街日報》的測試再次證明本年 4 月 Reddit 用戶 bangorlol 的說法正確。該位網民成功對 TikTok 進行逆向工程分析,強烈建議所有人不要再使用該程式,並警告其有侵入性的用戶追踪和其他安全問題,所有電話聯絡人、你使用哪些應用程式,甚至是電話硬件數據與 wifi 連接點名字的資料都會被字節跳動獲取,形容 TikTok 是「數據收集服務」,而非所謂的社交媒體。

文/Alan Chiu

發表意見