两项研究表明，TikTok可以绕过苹果和谷歌的隐私保护，访问完整的用户数据

TikTok可以绕过苹果和谷歌应用商店的安全保护，并使用设备跟踪，使TikTok位于北京的母公司ByteDance能够完全访问用户数据，根据TheWrap获得的两项主要研究的总结，这两项研究似乎证实了隐私专家对这一流行视频分享应用程序的长期担忧。

这项由“白帽子”网络安全专家进行的研究，在2020年11月和2021年1月完成了对公共利益的黑客攻击。Wrap验证了这些研究，并与五位独立专家确认了他们的结论。

TikTok的母公司ByteDance与中国政府有联系，TikTok的代表在接受采访时拒绝证实或否认这项研究的有效性。

这些研究的总结仅与The Wrap分享，表明TikTok能够避免对苹果和谷歌应用商店的代码审计。更令人担忧的是，研究发现TikTok能够在用户不知情的情况下随心所欲地改变应用程序的行为，并利用设备跟踪技术，基本上为公司和第三方提供了用户数据的全访问权限。这是非常不寻常的，超出了Facebook、Twitter和其他社交媒体平台等美国应用程序的能力。

网络安全公司Conquest cyber的网络威胁工程师弗兰克·洛克曼（Frank Lockerman）回顾了这两项“白帽”研究，他说：“这些动态特性允许TikTok在应用程序可以看到的范围内全权访问您的设备。”。“TikTok浏览器不仅可以从web转换到设备，还可以在设备本身上查询内容。”

虽然TikTok声称其方法是标准的，尤其是对于依赖广告的社交媒体应用，但研究人员和独立专家都表示，该应用的代码使其更难监控。一项研究说：“因此，仅仅因为应用程序今天没有做任何坏事，并不意味着它将来不会做坏事。”。

在回顾了研究结果后，BestApp的移动开发专家Russ Jowell说。com表示，很难完全了解TikTok的数据挖掘能力和意图。但总的来说，他说：“在我看来，ByteDance已经走了非常长的路——可能比Facebook、Twitter和其他社交网络还要长——以隐藏其应用程序的内部工作。”

Tiktok的发言人拒绝直接对这项研究发表意见，但他告诉《包装》，该公司坚持应用商店政策，并补充说其产品符合美国、英国、爱尔兰的信息安全标准。印度和新加坡最近获得了ioXt联盟的认证，以满足网络安全和透明度方面的标准和承诺。事实上，TikTok表示，它通过一个名为HackerOne的项目与道德黑客社区和研究人员合作，测试其产品。

“我们全球社区的安全和隐私始终是头等大事，”该公司在提供给TheWrap的一份声明中说。“领先于下一代网络威胁需要不断加强我们平台的安全性，这就是为什么我们不断努力验证我们的安全标准，并与业界领先的专家合作测试我们的防御能力。”

尽管如此，一些国家已经就TikTok做出了自己的决定。该应用程序本身在中国不可用，出于国家安全考虑，印度在2020年禁止了它。

在前总统唐纳德·特朗普试图在2020年的行政命令中禁止中国人拥有的应用程序后，拜登政府去年6月彻底放弃了这一禁令，但现在正在考虑新的法规，这将影响外资服务，即TikTok。商务部提出的规则将增加商务部长Gina Raimondo在审查软件时的标准，这些软件构成“不适当或不可接受的风险”。

在短期内，Tiktok的人气似乎不可阻挡，在2019到2021年间，美国用户的比例翻了一番，达到7870万。这一社交视频应用的增长速度威胁到了18岁的Facebook及其年轻平台Instagram的增长——这两个平台都在争夺年轻用户的斗争中失利。据eMarketer估计，去年9月，TikTok达到了每月10亿用户的里程碑，预计到2023年，Z代用户将超过Instagram，总用户将超过Snap。

尽管人们越来越有兴趣监管该公司，TikTok仍然是创作者和公司渗透千禧一代和Z代市场的主要平台。此外，该应用开始吸引更多老年用户，尽管它正在探索向电视屏幕的飞跃。根据comScore的数据，2021年3月，35岁至44岁的用户的平台达到了大约18%倍。在此期间，45岁至54岁的游客占独特游客总数的14.6%，65岁及以上的游客占3.5%，比2020年增加了两倍。

苹果和谷歌的代表没有回应TheWrap的置评请求。

在检查Tiktok的2020和2021的源代码时，这两项研究研究了应用程序如何收集联系人、设备ID和剪贴板动作上的数据，以及隐藏向TIKTK服务器发送的数据。研究报告未能获得这两项研究的全文，但与五位独立专家进行了交谈，他们对研究结果进行了审查。

研究表明，TikTok使用设备ID（识别单个设备的数字和字母）进行广告整合，这意味着广告商最终可以通过设备和安装跟踪用户。一份报告指出：“一旦一个广告客户拥有一个相关的设备ID，所有的隐私都消失了。”。

请参考Wrap的常见问题页面，TikTok的一位代表说：“与其他移动应用相比，TikTok应用收集的信息量并不是独一无二的。根据行业标准，我们收集用户选择提供给我们的信息，以改善人们对我们应用的体验。与同行一样，我们不断更新我们的应用，以跟上不断变化的安全挑战。”

通过对后端的研究，研究人员还发现，该应用程序本质上就像一个网络浏览器。它使用一种JavaScript桥接器，即web编程语言，在TikTok启动时直接从其服务器上拉取应用程序。Conquest Cyber的洛克曼表示，这使得应用程序的安全性很难评估，因为这可能会不断变化。从理论上讲，这也意味着TikTok可以动态更改其应用程序行为，或者在不向用户推送更新的情况下动态测试某些东西。

洛克曼说：“这对应用程序的安全性具有重要意义，因为它的状态不能仅通过对应用程序的静态分析来确定。”。

因为代码使用了许多本机库，它可以“阻止使用这些库的Google Store代码分析，”洛克曼解释道。这使得应用程序更难进行逆向工程，因为代码不依赖于已经提供给开发人员的系统库。在编码中，库是用于特定任务的代码集。该研究称，通过有效地作为网络应用运行，该应用能够绕过苹果和谷歌的代码审核。

TikTok坚称，它的应用程序不是一个可以不断重写的网络浏览器，并重申它遵循谷歌和苹果商店的政策。该公司表示，该应用确实通过提取服务器数据（如最新的配置设置）来运行，但这是确保其性能的标准做法。

众所周知，苹果和谷歌的应用商店在实施保护用户免受非法活动、假冒应用和其他潜在危险的措施方面非常严格。无数应用程序因伪装成工具（如照片过滤器或相机扫描仪）而被禁止，目的是欺骗用户并追查他们的金钱和个人信息。例如，安卓应用商店（Android app store）在应用权限、用户体验和总体可访问性方面实施指导方针，以维护高质量的应用。

在苹果应用程序上，研究表明TikTok制作了自己版本的视频播放器，可能是为了确保代码正常运行——但洛克曼说，它也可能被用来隐藏东西。此外，该应用程序依靠一个“预回迁系统”在用户观看时在后台同时加载多个视频。这提高了速度，这在很大程度上是TikTok成功吸引用户的原因。通过跟踪用户在内容上停留的时间或他们重新观看的视频，TikTok的算法可以“了解”人们的兴趣，并比竞争对手更快地推动参与。

TikTok只解释说，它创建了自己的视频播放器，以优化用户的性能。

还值得注意的是，调查应用程序源代码的研究是基于该时间点的分析。应用程序经常更新，并通过补丁进行更正。

Conquest Cyber总裁杰夫·恩格尔（Jeff Engle）告诉TheWrap，就TikTok用户的人身安全而言，人们关心的不是研究人员在应用程序上发现的漏洞，而是TikTok对其收集的所有信息所做的事情。与所有跟踪用户活动的应用程序一样，潜在的危险是来自外部参与者的威胁和用户数据泄露的风险。

恩格尔说：“和任何社交媒体一样，如果你不付费，那么你很可能就是产品。”。“你提供的数据几乎总是比用户意识到的要多，可能会被劫持，但这是基于用户对用户的个人风险分析。任何社交媒体的收集、分发控制和操纵都使其成为强大的武器。”

然而，专家指出，TikTok的数据挖掘可能并不比Facebook等主要社交网络差——区别在于TikTok对数据的处理方式。1月份，移动营销公司URL Genius对10款社交应用进行了对比研究，结果表明TikTok是最能收集用户数据的应用，比如IP地址、位置和搜索历史，可以与第三方共享，即使在你关闭应用后，也可以在其他网站上继续跟踪。

TikTok实际上是2016年在中国发布的社交应用Douyin的国际版。一年后，母公司ByteDance将TikTok与另一款应用程序Music合并后，在中国境外推出了TikTok。很好。事实上，TikTok的前员工已经对其母公司的控制权及其访问美国用户数据的能力提出了担忧。

虽然Facebook用户自愿在他们的页面上填写个人信息，从他们的教育程度到他们居住的地方，但TikTok的数据收集对普通用户来说并不那么明显——该应用程序记录你在视频上停留的时间、你与谁打交道以及你最常重播的主题和内容。

Jowell承认TikTok的影响力正在上升，他说这些隐私问题不太可能导致人们完全删除该应用。但从安全的角度来看，他的建议是避免发布包含任何个人身份信息的内容，并更改您在帖子中使用的设置和装备。“永远记住，点击发送或上传按钮就像你的孩子长大后离开家一样，”乔威尔说。“一旦你这么做了，你就不能完全控制那部分内容了。”