分析：TikTok利用Android安全漏洞收集MAC地址，可能用于广告跟踪，无法选择退出；这种做法已于11月结束

“华尔街日报”的一项分析发现，TikTok绕开了谷歌Android操作系统的隐私保护，从数百万移动设备上收集唯一标识符，这些数据允许该应用程序在线跟踪用户，而不允许他们选择退出。

手机安全专家说，这一策略是通过一层不同寻常的加密层隐藏起来的，似乎违反了谷歌限制应用程序跟踪用户的政策，而且没有向TikTok用户披露。“华尔街日报”的测试显示，TikTok在11月结束了这一做法。

这一发现出炉之际，TikTok总部位于北京的母公司ByteDance Ltd.正面临来自白宫的压力，原因是担心该应用程序收集的数据可能被用来帮助中国政府追踪美国政府雇员或承包商。TikTok曾表示，它不会与中国政府共享数据，如果被要求，它也不会这样做。

TikTok收集的标识符称为MAC地址，最常用于广告目的。白宫曾表示，担心用户数据可能被中国政府获取，并被用来建立勒索或间谍活动个人的详细档案。

TikTok今年早些时候表示，其应用程序收集的个人数据少于Facebook和Alphabet Google等美国公司。TikTok没有回应详细问题。在一份声明中，一位发言人表示，该公司“致力于保护TikTok社区的隐私和安全。像我们的同行一样，我们不断更新我们的应用程序，以跟上不断发展的安全挑战。“。

该公司表示，“当前版本的TikTok不收集MAC地址。”

大多数主要的移动应用程序都会收集一系列关于用户的数据，隐私倡导者长期以来一直认为这种做法令人担忧，但科技公司辩称，这种做法提供了高度定制的体验和有针对性的广告。数据收集因公司而异。

根据移动应用分析公司AppCSurvey 2018年的一项研究，约有1%的Android应用收集MAC地址。AppCcount是一家移动应用分析公司，为公司提供隐私咨询。

谷歌的一位发言人说，公司正在调查“华尔街日报”的调查结果，并拒绝对允许一些应用程序收集MAC地址的漏洞发表评论。

特朗普政府对国家安全的担忧促使字节跳动(ByteDance)与包括微软在内的几家追求者探讨出售TikTok美国业务。当被问及该公司是否知道这个数据收集问题时，微软发言人拒绝置评。

这个问题涉及一个12位的“媒体访问控制”或MAC地址，这是所有支持互联网的电子产品(包括移动设备)中的唯一号码。

MAC地址对广告驱动的应用程序很有用，因为它不能重置或更改，允许应用程序制造商和第三方分析公司建立消费者行为的配置文件，这些配置文件可以在除用户获得新手机之外的任何隐私措施中保持不变。联邦贸易委员会表示，根据儿童在线隐私保护法，MAC地址被视为个人身份信息。

卡尔加里大学(University Of Calgary)助理教授、AppCcount，Inc.联合创始人乔尔·里尔登(Joel Reardon)表示：“这是一种在没有任何退出能力的情况下对用户进行长期跟踪的方式。”“我看不到另一个收集它的理由。”

苹果在2013年锁定了iPhone MAC地址，阻止第三方应用读取标识符。两年后，谷歌在Android上也做了同样的事情。“华尔街日报”的测试显示，TikTok绕过了Android上的这一限制，使用了一种变通方法，允许应用程序通过更迂回的路线获取MAC地址。

里尔登说，这个安全漏洞虽然很少使用，但却广为人知。去年6月，在发现最新版本的Android仍然没有堵住漏洞后，他向谷歌提交了一份关于这个问题的正式错误报告。他说：“我很震惊，它仍然是可以开发的。”

里尔登的报告针对的是总体上的漏洞，而不是针对TikTok。他说，当他提交错误报告时，公司告诉他已经有了类似的报告存档。谷歌拒绝置评。

“华尔街日报”的测试显示，TikTok收集MAC地址至少15个月，直到去年11月18日发布了更新，当时ByteDance正受到华盛顿的严格审查。

TikTok将MAC地址与其他设备数据捆绑在一起，并在应用程序首次在新设备上安装和打开时将其发送给ByteDance。该捆绑包还包括设备的广告ID，一个32位数字，旨在允许广告商跟踪消费者的行为，同时给予用户一定程度的匿名性和对其信息的控制。

注重隐私的用户可以从设备的设置菜单中重置广告ID，这一操作大致相当于在浏览器中清除cookie。

Google的Play Store政策警告开发者，“未经用户明确同意，广告标识符不得连接到个人身份信息或与任何持久设备标识符(包括MAC地址)相关联。”

存储不变的MAC地址将允许ByteDance将旧的广告ID连接到新的广告ID-这一策略被称为“ID桥接”-这在谷歌的Play Store上是被禁止的。里尔登说，“如果你卸载TikTok，重置广告ID，重新安装TikTok，然后创建一个新账户，MAC地址将是相同的。”“你从头开始的能力已经丧失了。”

尽管有禁令，但根据AppCcount的数据，ID桥接相当普遍，特别是在免费游戏应用程序中。但它很少涉及MAC地址，这是当前版本的Android中可访问的最持久的标识符。

AppCcount在2018年随机调查了25152个支持互联网的安卓应用，发现只有347个(1.4%)使用安卓漏洞发送MAC地址。其中只有90个还在传输内置的安卓ID，如果设备重置，这个ID就会改变。

华尔街日报的分析证实了Reddit在4月份发布的一篇被广泛讨论的匿名帖子中详细描述的一些行为，该帖子指控TikTok向ByteDance服务器传输了一系列个人数据，包括MAC地址。谷歌表示，它正在调查该帖子中的说法。

华尔街日报调查了2018年4月至2020年1月在Play Store上发布的9个版本的TikTok。但华尔街日报的分析仅限于检查TikTok在用户创建账户并接受应用程序的服务条款之前，新安装在用户设备上时收集的信息。

除了MAC地址，“华尔街日报”的测试显示，TikTok没有为移动应用程序收集大量信息，并在其隐私政策和安装期间请求用户同意的弹出窗口中披露了这种收集情况。

不太典型的是ByteDance采取的隐藏其捕获的数据的措施。TikTok将其传输的大部分用户数据包装在额外的自定义加密层中。

与几乎所有的现代应用程序一样，TikTok的互联网流量受到网络标准加密协议的保护，因此窃听者不太可能在传输过程中窃取信息。分析应用行为的监督组织国际数字问责委员会(International Digital Accounability Council)的研究员内森·古德(Nathan Good)说，这使得额外的自定义加密代码TikTok适用于用户数据看起来无关紧要-除非添加它是为了防止设备所有者看到TikTok在做什么。

“TikTok对这些数据的混淆让它更难确定自己在做什么，”古德说。增加的加密层让研究人员更难确定TikTok是否遵守了其隐私政策和各种法律。他说，他不知道加密的商业目的。

“它不会提供任何额外的互联网安全级别，”里尔登表示同意。“但这确实意味着，我们对正在发出的信息没有透明度。”

Okta，Inc.负责网络安全战略的副总裁马克·罗杰斯(Marc Rogers)说，移动应用程序隐藏部分软件以防止被竞争对手复制是很常见的，但TikTok的加密似乎并没有隐藏专有秘密。Okta，Inc.提供帮助用户安全在线登录的服务。

罗杰斯说，“我猜测，他们这么做的原因是为了绕过苹果或谷歌的检测，因为如果苹果或谷歌看到他们把这些识别码传回，他们几乎肯定会拒绝这款应用。”

密苏里州共和党参议员乔希·霍利(Josh Hawley)在通知“华尔街日报”的一份声明中说，谷歌应该将TikTok从其平台上移除。参议员霍利一直对TikTok持批评态度，总体上对中国持鹰派立场。

“谷歌需要注意它的商店，TikTok不应该在上面，”他说。“如果谷歌告诉用户，在没有他们同意的情况下，他们不会被跟踪，并故意允许TikTok等应用程序通过收集永久标识符来违反规则，这可能违反了我们孩子的隐私法，他们必须做出一些解释。”

修正与放大内森·古德是国际数字责任委员会(International Digital Accounability Council)的研究员，该委员会是一个分析应用程序行为的监督组织。本文的早期版本错误地将他的姓氏拼写为Wood。(更正于8月11日。)