用户隐私问题之下“抖音”该反省了

2020-03-25 08:09曾响铃
计算机应用文摘·触控 2020年3期
关键词:抖音安全漏洞攻击者

曾响铃

隱私事故频发,“抖音”海外业务受阻

“TikTok可能更着重于快速增长并为用户构建新功能,而不是巩固安全性,像这样的公司有安全漏洞是在我预料之中的。”这是来自网络安全公司Lookout的研究负责人克里斯托夫·哈巴森对TikTok安全漏洞问题的看法,显而易见,类似的舆论压力让TikTok很受伤。

回归到这次被曝光的TikTok安全漏洞本身,也着实让“抖音”吓出一身冷汗。据Check Point产品漏洞研究负责人奥代德·瓦努努表示:“我们发现的漏洞都在TikTok系统的核心部分。”比如TikTok官网支持向用户发送SMS短信,但其中一个漏洞能让攻击者对短信链接进行篡改,实施诈骗,即发送者仍是TikTok,但短信链接已被篡改,一旦用户点击链接后,其账户将被攻击者控制,尔后即可进行上传、删除视频、访问私密视频、将私密视频公开以及关注其他用户等操作。

再比如攻击者通过另一个漏洞能够获取用户账户的个人信息,包括电子邮件地址、付款信息、姓名和出生日期等,并且发现漏洞的安全人员解释还称,由于缺乏反跨站请求伪造机制,无需受害者同意,攻击者就可以执行JavaScript代码,替代受害者执行操作,这又加深了人们的担忧。值得庆幸的是,截至发稿前漏洞已经被修复,但这并非“抖音”在海外面临的“用户隐私战争”首战,也不是其最后一战。

比如2019年2月,美国联邦贸易委员会投诉TokTik,称其非法收集未成年人个人信息,违反了《儿童在线隐私保护法》,因为该法要求网站和在线公司在收集13岁以下的儿童个人信息时,必须征得父母同意,为此TikTok同意支付570万美元达成和解。

值得一提的是,据外媒称市场研究公司Watc h f u l在最新版本的《抖音短视频》和T i kTo k的A n d ro i d程序中,发现了基于DeepFakes技术的Face Swap(换脸)代码。截至发稿前该功能还没有发布,据介绍其原理跟2019年名噪一时的“Zao”差不多,并且他们还在美国版TikTok应用程序代码中的英文文本中,发现了与该功能相关未发布的服务条款。

从2019年“Zao”的经历可知,换脸功能虽然很受欢迎,但涉及的隐私问题同样非常复杂,对此不知道“秘研”换脸功能的“抖音”是否已经有了应对之策。就目前来看,“抖音”在海外的快速扩张过程中,应对“用户隐私”问题让其花费众多精力。前不久,据彭博社报道,为应对包括“用户隐私”在内的各种问题,顾问公司为字节跳动提出诸如进行法律辩护、将TikTok独立运营以及出售多数股权等多种方案,毋庸置疑,隐私事故的出现,给“抖音”的海外业务发展带来了一定的阻力。

悬案难决,“抖音”用户隐私问题内外齐发

与国外相比,虽然国内用户对隐私数据敏感度和维权意识相对较低,但国家对互联网用户数据监管趋势正在变严,而“抖音”去年也因为用户隐私问题数次引发热议。

2019年10月30日,明星李小璐存在《抖音短视频》草稿箱内的三段视频被曝光,瞬间在网上引发轩然大波。最开始舆论焦点是在娱乐明星的花边新闻上,但在视频的主角后续发布一则微博质问“为什么2018年在‘抖音拍的视频没有任何外传的前提下会被放出来还没有LOGO?”后,大众很快将目光转移到短视频平台的用户隐私问题上。

接着有传言称视频是“抖音”员工从后台将这些视频下载下来的,随后“抖音”回应称“传言不实”,因为运营审核后台没有任何草稿视频,不存在“抖音”员工从后台草稿箱里下载视频的可能。于是人们又将目光投向“用户草稿箱里的视频能否上传到‘抖音服务器”,结果有网友“晒”出《抖音隐私政策》中的第1.3条“信息发布”f款规定,大体意思是说为提升视频上传速度,在视频点击“发布”确认上传前,会被临时加载至服务器,这段“临时期”引发了很多用户对草稿箱短视频内容的担忧。

截至发稿前,上述视频“悬案”还未有最终答案,只不过最近TikTok曝光的安全漏洞恰好涉及相关隐私问题,这让很多网友不由将两件事又联系到了一起,引发了新一轮的热议。不过暂且不管两件事是否有直接关联,但肯定都跟一个问题有关—那就是用户隐私。

面对用户隐私问题,“抖音”去年还被腾讯告上了法庭,腾讯指控《多闪》(社交版“抖音”)在未被授权的情况下违规盗用《微信》、QQ的用户数据,从而被法院判违规。据腾讯方面称,“抖音”将腾讯提供给《抖音短视频》的《微信》、QQ授权登录服务擅自提供给《多闪》使用,即用户即使仅注册《抖音短视频》,未注册《多闪》,但《多闪》仍能从《抖音短视频》获取用户的《微信》、QQ头像和昵称。

此外,之前一篇名为《法学博士生维权:我为什么起诉抖音、多闪侵犯我的隐私权?》文章也在网络上引发热议,该文作者称《抖音短视频》和《多闪》两款APP,在APP通讯录未包含任何信息、他个人也未明确授权两者使用个人通讯录的情况下,就向他精准推荐了多位“好友”,其中更有他多年未联系的人,比如前任女友,这让作者非常气愤,由此将两款APP运营方告上法庭,并质问其是如何获取“好友关系”并侵犯隐私的。

可见,不只是国外,国内用户和法律对个人隐私的保护也在日益加强,而不管是从法律层面,还是舆论层面,互联网平台对用户隐私的保护多应该更加“用心”,以免失去“人心”。

总而言之,在互联网时代,数据资源就是“新石油”,用户数据就是“新财富”,不管是正规的互联网平台,还是利用技术漏洞非法获取用户数据的黑客,其本质上都是想利用用户数据获取利益,只不过黑客是非法获取数据牟利,正规的互联网平台是合法利用数据赚钱,短视频平台亦是如此。

不过,对用户和监管部门来说,短视频平台跟黑客一样都是需要监管的对象,因为一旦平台非法利用用户数据牟利,其带来的危害性可能还会更大。而对平台来说,它既要不断提升安全技术,防范黑客非法获取用户数据,又要不断提升保护用户隐私意识,对用户隐私心存敬畏,避免监守自盗,方可赢得人心。

正如张小龙在前不久的微信公开课Pro上所讲的:作为平台,因为我们有大量的数据,什么该用,什么不该用,其实是我们一直思考的问题,我们在这里也倡导同行一起重视这个问题。张小龙所讲的同行有无特指我们不知道,但作为平台,对待大量的用户数据,什么该用,什么不该用,真值得大众思考。

猜你喜欢
抖音安全漏洞攻击者
基于微分博弈的追逃问题最优策略设计
安全漏洞太大亚马逊、沃尔玛和Target紧急下架这种玩具
玩“抖音”爱上风流“网红”,姐姐被抛弃妹妹来报复
“使用与满足理论”视角下的移动短视频研究
正面迎接批判
互动仪式链视角下的音乐短视频研究
音乐社交短视频软件何以走红
基于安全漏洞扫描的校园网告警系统的开发与设计
有限次重复博弈下的网络攻击行为研究
安全漏洞Shellshock简介