WhiteHat News #ID:2017
VIP Members
-
20/03/2017
-
113
-
356 bài viết
"Phốt" mới của TikTok: Theo dõi dữ liệu người dùng bất chấp biện pháp bảo vệ quyền riêng tư của Google
TikTok trước đó đã phải đối mặt với mối đe dọa đến từ lệnh cấm của chính phủ Mỹ do lo ngại về hành vi gián điệp cho Trung Quốc và sự cố vi phạm quyền riêng tư mới nhất của ứng dụng này nhiều khả năng sẽ là "giọt nước làm tràn ly".
Theo Wall Street Journal, ứng dụng TikTok đã theo dõi địa chỉ MAC (mã nhận dạng phần cứng cho các thiết bị có kết nối mạng) của người dùng Android trong vòng ít nhất 15 tháng bất chấp các chính sách và hệ thống bảo mật của Google ngăn cấm hành vi này. Theo báo cáo, TikTok đã sử dụng một lỗ hổng bảo mật "cô lập" nổi tiếng để thu thập dữ liệu cũng như dùng một lớp mã hóa bổ sung "bất thường" để che đậy phương pháp này.
Công ty đã không thông báo cho người dùng hoặc đưa ra bất kỳ sự lựa chọn nào về việc thu thập dữ liệu. Khi người dùng lần đầu chạy ứng dụng trên một thiết bị mới, TikTok sẽ gói dữ liệu địa chỉ MAC với thông tin bao gồm ID quảng cáo bán ẩn danh được sử dụng để theo dõi hành vi của người dùng. Bạn có thể reset ID này trên điện thoại, nhưng không thể thay đổi địa chỉ MAC.
TikTok đã dừng hành động theo dõi này thông qua một bản cập nhật vào ngày 18 tháng 11 năm ngoái, WSJ cho biết. Khi được tờ báo liên hệ, công ty đã không trực tiếp giải trình về các thông tin được nêu lên, tuy nhiên họ đã nói rằng "phiên bản hiện tại" của ứng dụng không thu thập địa chỉ MAC.
Google cho biết đang điều tra tất cả những phát hiện có trong báo cáo và những thông tin từ một bài đăng ẩn danh trên Reddit vào hồi tháng 4, nhưng họ từ chối bình luận về lỗ hổng được đề cập. Joel Reardon thuộc dịch vụ AppCensus cho biết ông đã đệ trình một báo cáo về lỗ hổng này với Google vào tháng 6 năm 2019, nhưng dường như lỗi này vẫn không có sự chuyển biến sau đó.
Không có thông tin nào đề cập đến hành vi theo dõi tương tự trên các thiết bị iOS. Vài năm trước, cả Apple và Google đều đã chính thức cấm các ứng dụng đọc địa chỉ MAC.
Hành vi này không chỉ xuất hiện duy nhất trên TikTok, AppCensus ước tính rằng khoảng 1.4% ứng dụng Android khai thác lỗ hổng để gửi đi các địa chỉ MAC. Tuy nhiên, quá trình mã hóa rất kỳ lạ và không rõ ý định của TikTok đối với dữ liệu này là gì. Sự cố lần này được phát hiện chỉ vài tuần sau khi iOS14 tiết lộ TikTok đã truy cập vào clipboard của iPhone nhiều hơn mức cần thiết.
Sự việc lần này đến vào thời điểm tồi tệ nhất có thể đối với TikTok. Tổng thống Donald Trump và các chính trị gia Mỹ đang hối thúc TikTok bán mình cho một công ty Mỹ do lo ngại công ty mẹ ByteDance của Trung Quốc có thể yêu cầu ứng dụng thu thập dữ liệu nhạy cảm để giám sát người dùng. TikTok luôn phủ nhận việc thu thập dữ liệu cho Trung Quốc và cho rằng mình biệt lập đối với ByteDance, nhưng hành động lần này có thể dễ dàng làm dấy lên mối nghi ngờ ngay cả khi dữ liệu chỉ được sử dụng cho hoạt động quảng cáo hay các mục đích kinh doanh khác.
Công ty đã không thông báo cho người dùng hoặc đưa ra bất kỳ sự lựa chọn nào về việc thu thập dữ liệu. Khi người dùng lần đầu chạy ứng dụng trên một thiết bị mới, TikTok sẽ gói dữ liệu địa chỉ MAC với thông tin bao gồm ID quảng cáo bán ẩn danh được sử dụng để theo dõi hành vi của người dùng. Bạn có thể reset ID này trên điện thoại, nhưng không thể thay đổi địa chỉ MAC.
TikTok đã dừng hành động theo dõi này thông qua một bản cập nhật vào ngày 18 tháng 11 năm ngoái, WSJ cho biết. Khi được tờ báo liên hệ, công ty đã không trực tiếp giải trình về các thông tin được nêu lên, tuy nhiên họ đã nói rằng "phiên bản hiện tại" của ứng dụng không thu thập địa chỉ MAC.
Google cho biết đang điều tra tất cả những phát hiện có trong báo cáo và những thông tin từ một bài đăng ẩn danh trên Reddit vào hồi tháng 4, nhưng họ từ chối bình luận về lỗ hổng được đề cập. Joel Reardon thuộc dịch vụ AppCensus cho biết ông đã đệ trình một báo cáo về lỗ hổng này với Google vào tháng 6 năm 2019, nhưng dường như lỗi này vẫn không có sự chuyển biến sau đó.
Không có thông tin nào đề cập đến hành vi theo dõi tương tự trên các thiết bị iOS. Vài năm trước, cả Apple và Google đều đã chính thức cấm các ứng dụng đọc địa chỉ MAC.
Hành vi này không chỉ xuất hiện duy nhất trên TikTok, AppCensus ước tính rằng khoảng 1.4% ứng dụng Android khai thác lỗ hổng để gửi đi các địa chỉ MAC. Tuy nhiên, quá trình mã hóa rất kỳ lạ và không rõ ý định của TikTok đối với dữ liệu này là gì. Sự cố lần này được phát hiện chỉ vài tuần sau khi iOS14 tiết lộ TikTok đã truy cập vào clipboard của iPhone nhiều hơn mức cần thiết.
Sự việc lần này đến vào thời điểm tồi tệ nhất có thể đối với TikTok. Tổng thống Donald Trump và các chính trị gia Mỹ đang hối thúc TikTok bán mình cho một công ty Mỹ do lo ngại công ty mẹ ByteDance của Trung Quốc có thể yêu cầu ứng dụng thu thập dữ liệu nhạy cảm để giám sát người dùng. TikTok luôn phủ nhận việc thu thập dữ liệu cho Trung Quốc và cho rằng mình biệt lập đối với ByteDance, nhưng hành động lần này có thể dễ dàng làm dấy lên mối nghi ngờ ngay cả khi dữ liệu chỉ được sử dụng cho hoạt động quảng cáo hay các mục đích kinh doanh khác.
Theo VnReview