对TikTok进行反向工程的人揭露了他学到的可怕事情

Facebook在与剑桥分析公司(Cambridge Analytica)进行可疑业务时，让自己陷入了一场敏感的数据丑闻，Instagram证实了一个安全问题，暴露了用户账户和电话号码，但据一位拥有约15年专业经验的高级软件工程师称，与TikTok相比，这些应用程序基本上是在线安全避风港。

2个月前，Reddit用户bangorlol在一次关于TikTok的讨论中发表了评论。邦格罗尔声称已经成功地对其进行了反向工程，并分享了他对这家中国视频分享社交网络服务的了解。基本上，他强烈建议人们永远不要再使用这款应用，并就其侵入性的用户跟踪和其他问题发出警告。考虑到TikTok是2019年最受欢迎的免费iPhone应用下载量第四名，这相当令人担忧。

邦格罗尔不是剧本，小子。他告诉“无聊熊猫”：“我职业生涯的最后几年一直围绕着扭转移动应用程序，分析它们的工作方式，并围绕它们构建额外的第三方功能。”“一个粗略的例子是，我注意到Twitter不会在网站上显示连续的时间表(不知道他们是否会显示)，但在应用程序上会显示。我会进入Android或iOS版本，找到获取正确数据的请求，然后构建一个第三方工具(应用程序、网站、浏览器扩展)来为用户提供这一功能。

“最近，它主要涉及颠倒我公司的合作伙伴API，这样我们就不必等待他们为我们创建定制的东西。当我有时间的时候，我会寻找虫子的赏金，或者帮助我的朋友解决他们的问题(或者他们的CTF挑战)。总的来说，我喜欢安全性，而且每当我更换雇主时，通常都会发现至少几个主要缺陷。从某种意义上说，我对软件工程的大部分领域都很熟悉，对许多安全主题也相当在行，所以我是那种‘万能杰克’型的人。“。

据报道，中国开发团队花了200天才创建了TikTok的原始版本，但当邦戈罗尔将光标放在代码上时，它没有机会了。不过，它确实试图抗争。“TikTok下了很多功夫来阻止像我这样的人弄清楚他们的应用程序是如何工作的。这个应用程序的各个级别都涉及到大量的混淆，从标准的Android变量重命名Grossness到它们(字节跳动)派生和定制ollvm以获取它们的原生内容。它们隐藏函数，防止调试器附加，并使用相当多的诡计来使事情变得困难。老实说，它比我瞄准的大多数游戏都更复杂、更烦人。“邦格罗尔解释说。

这种保密是可以理解的。根据彭博社(Bloomberg)的一份报告，TikTok的收益随着其人气的增加而成比例增长，其所有者ByteDance去年实现净利润30亿美元。

邦格罗尔认为，作为一个社会，我们已经常态化地提供了我们的个人信息，不再对隐私和安全抱有期望，所以把我们的数据和我们的钱一起给TikTok也就不足为奇了。“大多数‘正常’人的普遍共识是，他们不能/不会成为目标，所以没问题。或者他们没有什么可隐瞒的，所以“我为什么要在乎呢？”我认为，这种冷漠源于人们不理解将我们的数据交给一个不歧视他们的目标的外国政府的安全影响(在各个层面)，而且在人权问题上也没有最好的记录。“。

请记住，邦格罗尔在不久前发布了他的最初评论，已经几个月没有碰过这款应用了，当他发布他的发现时，他们也落后了几个月。“这款应用程序可能已经改变了指纹识别技术，或者添加/删除了一些他们做的令人讨厌的事情。我强烈鼓励比我聪明得多、有更多空闲时间的安全研究人员来看看这款应用，仔细检查他们能做的每一个小细节。至少在Android版本的原生库中，有很多东西我都搞不清楚，也没有时间进一步研究。“他补充道。

“TikTok可能不符合被称为”恶意软件“的确切标准，但它绝对是邪恶的，(在我看来)是彻头彻尾的邪恶，”邦戈罗尔说。“政府禁止它是有原因的。请不要使用该应用程序。不要让你的孩子使用它。告诉你的朋友停止使用它。它只为你提供了一个快速的娱乐来源，你可以在其他地方获得，而不需要将你的数据交给中国政府。你直接把自己和网络上的人(工作和家庭)置于危险境地。“。

快完成了.。若要完成订阅过程，请单击我们刚才发送给您的电子邮件中的链接。