美国政府与TikTok间的拉扯仍在持续,尽管总统川普对TikTok的指控仍未证实,只是从《华尔街日报》最新披露内容来看,怀疑似乎其来有自。
《华尔街日报》最近针对多版本TikTok分析发现,TikTok利用技术漏洞从Android设备收集用户的MAC地址长达15个月之久,而这明显违反了Google政策。
MAC地址是国际组织配发给合法生产网卡的独一无二编号,在手机通常会与设备绑在一起,用户无法通过一般手段更改,因此MAC地址也经常用于寻找遭窃或遗失的移动设备。
由于MAC地址的特殊性,苹果在2013年公布MAC地址收集的限制,Google也在2015年祭出同样条款,但显然还是有漏洞可钻。
《华尔街日报》发现,TikTok利用一个未修补安全漏洞收集Android用户的MAC地址,之后再与其他数据(如广告ID)绑在一起,不仅未告知用户正在收集信息,也完全没有提供用户任何退出的选择。
尽管TikTok用户可自由选择重新设置广告ID,但与MAC地址的绑定间接等于让功能变成装饰,这也等于违反Google禁止App在未经“用户明确同意”时将广告ID连接到任何永久标记性符号的政策。
尽管这不是黑客等级行为,但收集MAC地址的行为仍使美国官方原先仅是“理论”上的指控更引人担忧。调查报告指出,TikTok母公司字节跳动(ByteDance)还使用自订加密,将捆绑的数据传回服务器,这措施很可能是防止苹果或Google注意到此违反政策的行为。
值得一提,除了MAC地址,TikTok似乎没有收集其他特殊信息,收集时也都遵照隐私权政策,使用过程有征得用户同意。
在此之前,字节跳动曾坚称不会将美国收集的用户数据发送到中国,若以此项论点为基础,收集MAC地址的最简单解释很可能是看上利润丰厚的广告业务。
TikTok于2019年11月已停止这种做法,时间点正好是在传出美国将对TikTok国安审查的一星期后,可想见他们或许理解到不论使用MAC数据的实际方式为何,结果都不会太好,收集年轻用户数据更可能涉及《儿童线上隐私保护法》,让事情更复杂。
(首图来源:shutterstock)