(纳闻记者钱明宇报导)
由于黑客声称已侵入其数据库并访问用户信息,全球流行的短视频共享应用程序 TikTok 的安全问题已经曝光。
9 月 3 日,一名名叫 AgainstTheWest 的用户声称在黑客论坛 Breach Forums 留言板上入侵了 TikTok 和微信。 这位装模作样的人说,已经从数据库中下载了 790 GB 的用户信息和 20.5 亿条记录,但他尚未决定是否将其出售或向公众发布。 黑客还发布了两个数据样本链接和一组数据库表的视频。
TikTok否认其数据库遭到破坏,称其安全团队已经调查并没有发现任何安全漏洞的证据。 然而,随着互联网专家评估谣言的真实性,疑虑仍然存在。
同样,8 月 31 日,微软研究团队宣布在 TikTok 的 Android 应用程序中发现了一个严重漏洞,攻击者可以通过该漏洞通过单击破坏用户帐户。 攻击者可以利用该漏洞在用户不知情的情况下劫持账户,然后访问和修改用户的 TikTok 个人资料和敏感信息,例如公开私人视频、发送消息和代表用户上传视频。
TikTok 有两个版本的 Android 应用程序。 在对 TikTok 漏洞的审查中,微软研究团队确定这两个应用程序都可能受到影响。 迄今为止,已安装了超过 150 万个适用于 Android 的 TikTok。
TikTok回应称,在微软通知该公司后,该漏洞已得到修复。
然而,被谷歌收购的公司 fastlane 的创始人 Felix Krause 于 8 月 18 日发表了对 TikTok 的研究,该研究表明,当 TikTok 用户通过应用程序上的链接访问网站时,TikTok 会插入代码来监控大部分用户在外部站点上的活动,包括击键(文本输入)和在页面上单击的任何内容。 这种跟踪将允许 TikTok 捕获用户的信用卡信息和密码。
该报告还称,TikTok 之所以能够进行监控,是因为它使用了作为应用程序一部分的应用程序内浏览器来对网站进行更改。 当人们点击 TikTok 广告或访问创作者的个人资料时,该应用程序无法与 Safari 或 Chrome 等常规浏览器一起使用。 相反,它默认使用 TikTok 应用程序的内置浏览器来重写一些网页。
在 Krause 测试的七款使用内置浏览器的 iPhone 应用程序中(它没有测试 Android 系统),TikTok 是唯一可以监控击键的应用程序。 它似乎也比任何其他应用程序监控更多的活动。
作为对调查结果的回应,TikTok 承认代码中存在这些功能,但辩称该公司并未将其用于跟踪用户,而仅用于调试、故障排除和性能监控等。
TikTok与中共的关系
TikTok 现在每月有超过 10 亿活跃用户,其中大部分是年轻人。 然而,由于该社交媒体平台归位于北京的中国公司字节跳动所有,并且据报道与中国共产党 (CCP) 有联系,因此受到了审查。
TikTok 多年来一直承诺,美国用户的信息将存储在美国,而不是中国。 然而,根据 BuzzFeed 获得的 80 次 TikTok 内部会议的泄露录音,美国用户的非公开数据已多次从中国获取。
8 月 12 日,中国最高互联网监管机构国家互联网信息办公室 (CAC) 发布通知,公开要求 30 家中国互联网公司提交其归档算法的数据。 字节跳动就是其中之一。
这些算法通过人工智能根据每个用户的偏好量身定制。 中国政法大学副教授朱伟表示,该算法不是简单的计算程序,而是更多地与个人信息和大数据相关联。
食典委史无前例的举动已在世界范围内引起了警觉。 澳大利亚内政部长兼网络安全部长克莱尔·奥尼尔 (Clare O’Neil) 已下令对 TikTok 的数据收集进行审查。
奥尼尔在 9 月初告诉《悉尼先驱晨报》:“我们有数百万澳大利亚人访问一个应用程序,他们的数据的使用是有问题的,这对这个国家来说是一个非常现代的安全挑战。”
根据互联网数据研究公司 WE ARE SOCIAL 发布的一份报告 Digital 2022,澳大利亚目前有 738 万成人用户。
知情人士告诉彭博社,拜登政府也可能会采取行动限制对中国科技公司的投资,可能会在 TikTok 上单独行动。
目前美国的 TikTok 用户数量约为 8000 万,约占美国人口的四分之一。
