TikTok lợi dụng một lỗ hổng trong hệ điều hành Android để thu thập các địa chỉ Mac trái phép, theo dõi người dùng trong 15 tháng.
Theo khám phá của Tạp chí Phố Wall, TikTok đã ghi lại địa chỉ Mac của hàng triệu thiết bị Android trái phép ngay cả khi họ thay đổi cài đặt quyền riêng tư hoặc từ chối quyền truy cập. Những thứ của tôi về WSJ được thực hiện trên 9 phiên bản TikTok trên Cửa hàng Play từ tháng 4 năm 2018 đến tháng 1 năm 2020.
TikTok đã lọt vào “tầm ngắm” của chính phủ Mỹ. Hình ảnh: WSJ.
Hành động thu thập địa chỉ ứng dụng trên Mac đã bị Google Play Store và Apple App Store cấm từ năm 2015. Tuy nhiên, TikTok vẫn đang âm thầm khai thác thông qua một lỗ hổng trên Android.
Trong phân tích, các chuyên gia cho biết việc thu thập dữ liệu đã được che đậy bằng “một lớp mã hóa bổ sung bất thường”. TikTok lấy địa chỉ Mac mỗi khi ứng dụng được cài đặt và mở lần đầu tiên, sau đó gửi nó trở lại máy chủ ByteDance. Gói dữ liệu được gửi bao gồm ID quảng cáo của thiết bị và một chuỗi 32 chữ số cho phép nhà quảng cáo theo dõi hành vi của người dùng.
Các chuyên gia của WSJ cũng nhận thấy rằng TikTok đã thu thập địa chỉ Mac trong ít nhất 15 tháng. Hành động này chỉ bị dừng sau bản cập nhật tháng 11 năm 2019.
Ngoài địa chỉ Mac, TikTok không thu thập bất kỳ thông tin nào khác, ngoại trừ dữ liệu được công bố trên trang chính sách người dùng.
Trả lời về vấn đề này, TikTok khẳng định “phiên bản TikTok hiện tại không thu thập địa chỉ Mac”. Tuy nhiên, hãng không đề cập đến các phiên bản cũ hơn. Đầu năm nay, một đại diện của mạng video ngắn cũng cho biết ứng dụng của họ thu thập ít dữ liệu cá nhân hơn các công ty Mỹ như Facebook hay Google.
Địa chỉ Mac là một chuỗi định dạng kỹ thuật số 12 chữ số cố định trên các thiết bị kết nối Internet, bao gồm cả điện thoại thông minh. Trình tự này thường được sử dụng cho mục đích quảng cáo vì nó không thể được đặt lại hoặc thay đổi, cho phép các nhà sản xuất ứng dụng và công ty phân tích bên thứ ba tạo hồ sơ về hành vi của người dùng.
Theo quy định của Ủy ban Thương mại Liên bang Hoa Kỳ (FTC), địa chỉ Mac được coi là thông tin nhận dạng cá nhân theo Đạo luật Bảo vệ Quyền riêng tư Trực tuyến của Trẻ em. Trong khi đó, chuyên gia Nhà Trắng cảnh báo rằng dữ liệu mà TikTok có được có thể bị chính phủ Trung Quốc thu thập, sau đó được sử dụng để xây dựng hồ sơ chi tiết của các cá nhân nhằm mục đích tống tiền hoặc gián điệp. .
Việc TikTok thu thập dữ liệu qua địa chỉ Mac khiến nhiều chuyên gia lo lắng. Joel Reardon, trợ lý giáo sư tại Đại học Calgary và là đồng sáng lập của một công ty chuyên về phân tích ứng dụng di động cho biết: “Đó là một cách để theo dõi và thu thập dữ liệu người dùng lâu dài, trong khi nạn nhân không thể từ chối. . Hình ảnh động, nhận xét của AppCensus.
Tháng 6 năm ngoái, Reardon là người đã phát hiện ra lỗ hổng bảo mật trên Android và báo cáo nó với Google, nhưng không nói rõ ứng dụng nào đã khai thác nó. Tuy nhiên, ở phiên bản Android mới nhất, chuyên gia này cho biết nó vẫn tồn tại. Reardon nói: “Tôi bị sốc vì lỗ hổng bảo mật vẫn có thể khai thác được.
Theo thống kê của AppCensus năm 2018 với 25.152 ứng dụng Android hỗ trợ Internet phổ biến, có khoảng 347 (1,4%) trong số đó thu thập địa chỉ Mac.
TikTok hiện là một trong những ứng dụng bị chính quyền Trump liệt vào danh sách “mối đe dọa đối với an ninh quốc gia” và sẽ bị cấm trừ khi nó tự bán cho một công ty Mỹ. Microsoft là một ứng cử viên sáng giá trong thương vụ mua lại TikTok. Một số tin đồn nói rằng thương vụ này trị giá khoảng 50 tỷ USD, nhưng dưới áp lực từ Trump, Microsoft có thể phải trả một mức giá thấp hơn.
Thiên phúc (dựa theo Tạp chí Phố Wall)