WSJ:TikTok 鑽漏洞收集 Android 用戶 MAC 位址長達 15 個月

作者 | 發布日期 2020 年 08 月 12 日 14:54 | 分類 數位內容 , 網路 , 資訊安全 Telegram share ! follow us in feedly


美國政府與 TikTok 間的拉扯仍在持續,儘管總統川普對 TikTok 的指控仍未證實,只是從《華爾街日報》最新揭露內容來看,懷疑似乎其來有自。

《華爾街日報》最近針對多版本 TikTok 分析發現,TikTok 利用技術漏洞從 Android 裝置收集用戶的 MAC 位址長達 15 個月之久,而這明顯違反了 Google 政策。

MAC 位址是國際組織配發給合法生產網卡的獨一無二編號,在手機通常會與裝置綁在一起,使用者無法透過一般手段更改,因此 MAC 位址也經常用於尋找遭竊或遺失的行動裝置。

由於 MAC 位址的特殊性,蘋果在 2013 年公布 MAC 位址收集的限制,Google 也在 2015 年祭出同樣條款,但顯然還是有漏洞可鑽。

《華爾街日報》發現,TikTok 利用一個未修補安全漏洞收集 Android 使用者的 MAC 位址,之後再與其他數據(如廣告 ID)綁在一起,不僅未告知用戶正在收集資訊,也完全沒有提供用戶任何退出的選擇。

儘管 TikTok 用戶可自由選擇重新設定廣告 ID,但與 MAC 位址的綁定間接等於讓功能變成裝飾,這也等於違反 Google 禁止 App 在未經「用戶明確同意」時將廣告 ID 連結到任何永久標記性符號的政策。

儘管這不是駭客等級行為,但收集 MAC 位址的行為仍使美國官方原先僅是「理論」上的指控更引人擔憂。調查報告指出,TikTok 母公司字節跳動(ByteDance)還使用自訂加密,將綑綁的數據傳回伺服器,這措施很可能是防止蘋果或 Google 注意到此違反政策的行為。

值得一提,除了 MAC 位址,TikTok 似乎沒有收集其他特殊資訊,收集時也都遵照隱私權政策,使用過程有徵得用戶同意。

在此之前,字節跳動曾堅稱不會將美國收集的用戶數據發送到中國,若以此項論點為基礎,收集 MAC 位址的最簡單解釋很可能是看上利潤豐厚的廣告業務。

TikTok 於 2019 年 11 月已停止這種做法,時間點正好是在傳出美國將對 TikTok 國安審查的一星期後,可想見他們或許理解到不論使用 MAC 數據的實際方式為何,結果都不會太好,收集年輕使用者數據更可能牽涉《兒童線上隱私保護法》,讓事情更複雜。

(首圖來源:shutterstock)