剛剛過去的這個(gè)周末,TikTok以及微信海外版(Wechat)的命運(yùn)可謂跌宕起伏、峰回路轉(zhuǎn)。
美國總統(tǒng)特朗普此前以國家安全為由下禁令,從上周日9月20日起,針對(duì)微信和TikTok的禁令將生效,但在上周六,他又表態(tài)贊成TikTok與美國公司甲骨文和沃爾瑪?shù)暮献鞣桨浮?/p>
Wechat方面,除了華人微信用戶聯(lián)盟在加州法院初戰(zhàn)告捷外,騰訊公司也祭出騷操作,趕在特朗普禁令之前把微信蘋果應(yīng)用商店的WechatWork企業(yè)微信改了個(gè)名字,變成Wecom。不過騰訊這波抖機(jī)靈操作安全牛是看不懂的,因?yàn)楦鶕?jù)美國商務(wù)部的新聞稿,“托管或轉(zhuǎn)移與Wechat相關(guān)的互聯(lián)網(wǎng)流量將是非法的” 。
言歸正傳,我們需要重新審視導(dǎo)致這一系列新聞鬧劇的本質(zhì)問題:TikTok和Wechat到底有沒有危害美國國家安全和公民隱私?
特朗普于8月6日發(fā)布禁止令的理由只有一個(gè):基于中國的應(yīng)用程序存在“國家安全問題”。而商務(wù)部長威爾伯·羅斯(Wilbur Ross)在新聞稿中還補(bǔ)充了一條“隱私侵犯”,因?yàn)檫@些應(yīng)用程序允許“中國惡意收集美國公民的個(gè)人數(shù)據(jù)?!?/p>
這個(gè)問題,從技術(shù)層面來說,只有網(wǎng)絡(luò)安全和隱私保護(hù)的專業(yè)人士才最有發(fā)言權(quán)。
近日,Threatpost搞了個(gè)美國網(wǎng)絡(luò)安全專家研討會(huì),邀請(qǐng)了多位大咖發(fā)聲,是目前為止從技術(shù)層面對(duì)TikTok和Wechat相關(guān)的安全和隱私話題最為專業(yè)的探討。
隱私數(shù)據(jù)收集是一個(gè)行業(yè)共性問題
對(duì)于TikTok和微信的禁令,一部分美國安全和隱私專家認(rèn)為,此舉對(duì)消費(fèi)者是一個(gè)福音,并指出,與許多社交媒體應(yīng)用程序一樣,這些應(yīng)用程序被過度使用。例如,TikTok(根據(jù)其隱私權(quán)政策)確實(shí)會(huì)收集電話和社交網(wǎng)絡(luò)聯(lián)系人、GPS位置、個(gè)人信息(例如年齡)以及任何用戶生成的內(nèi)容(例如照片和視頻),它也可以存儲(chǔ)付款信息。
Gurucul首席執(zhí)行官Saryu Nayyar通過電子郵件表示:“在公眾需求、國家安全和有效的網(wǎng)絡(luò)安全之間取得平衡很有挑戰(zhàn)性?!薄吧缃幻襟w應(yīng)用程序是公眾演講和影響力的重要平臺(tái),但是我們已經(jīng)看到無數(shù)事件可以將這些平臺(tái)濫用于任何目的……基于人工智能和大數(shù)據(jù)的分析甚至可以看似普通的信息產(chǎn)生巨大價(jià)值和效用。”
Point3 Security戰(zhàn)略副總裁ChloéMessdaghi同意,由于是擁有龐大用戶群體的社交媒體渠道,TikTok和WeChat值得關(guān)注。但他指出,政府禁令(而不是讓用戶個(gè)人決定自己的數(shù)據(jù)去向)有其自身的問題。
她表示:“我們從本質(zhì)上接受了允許(社交媒體)出于其目的收集我們的數(shù)據(jù),而沒有披露如何使用這些數(shù)據(jù),”“如今,主流的社交媒體公司對(duì)我們的了解比我們自己知道的要多得多,就消費(fèi)者權(quán)益和透明度而言,所有這些社交媒體平臺(tái)的行為都有點(diǎn)像是自治政府?!?/p>
但是,她補(bǔ)充說:“截至目前,尚無公開證據(jù)表明中國已經(jīng)獲得或使用了這些數(shù)據(jù)。這只是假設(shè),從第一次修正案的角度來看這是不幸的結(jié)果。2020年,TikTok是占主導(dǎo)地位的平臺(tái)之一,該平臺(tái)已幫助志趣相投的人們共享信息和計(jì)劃,并團(tuán)結(jié)在一起。就像Twitter在‘阿拉伯之春’期間所做的一樣,TikTok在這個(gè)夏天催化了很多進(jìn)步運(yùn)動(dòng),禁止TikTok是一種反動(dòng)?!?/p>
沒有數(shù)據(jù)濫用的確鑿證據(jù)
Comparitech的隱私倡導(dǎo)者Paul Bischoff指出:盡管許多人認(rèn)為TikTok將個(gè)人和使用信息發(fā)送回中國政府,但尚無具體證據(jù)表明這種影響已存在于該應(yīng)用程序的現(xiàn)有技術(shù)中。
實(shí)際上,Comparitech 對(duì)TikTok的隱私和安全問題進(jìn)行了詳細(xì)評(píng)估,沒有發(fā)現(xiàn)TikTok正在收集用戶數(shù)據(jù)并將其發(fā)送到中國的證據(jù)。
“沒有顯示出TikTok可以收集比其他社交媒體應(yīng)用程序更多的數(shù)據(jù),”Paul Bischoff指出:“這在美國開創(chuàng)了審查制度的危險(xiǎn)先例。我們正在禁止中文應(yīng)用程序,但采用了中國審查制度,后者更令人擔(dān)憂?!?/p>
Pixel Privacy的消費(fèi)者隱私專家Chris Hauk表示完全同意Paul Bischoff的看法,他指出:“考慮到?jīng)]有真正的威脅被證明,這(禁令)有點(diǎn)反應(yīng)過度。”“這項(xiàng)禁令的審查制度使我感到困惑。當(dāng)然,如果需要,可以禁止在政府和某些行業(yè)中使用這些應(yīng)用程序。但是,頒布中國式的禁令是美國應(yīng)該做的嗎?”
他補(bǔ)充說:“在頒布任何禁令之前,需要進(jìn)一步調(diào)查?;谖唇?jīng)證實(shí)的懷疑就去封殺應(yīng)用程序顯然屬于一種審查制度。”
為了解除禁令,可能需要進(jìn)行幾輪深入的技術(shù)審計(jì)。Netenrich的CISO布蘭登·霍夫曼(Brandon Hoffman)表示,技術(shù)審計(jì)包括但不限于代碼庫審查和流量分析,他補(bǔ)充說,他希望看到公開透明的技術(shù)審查信息。
Hoffman指出:“政府這樣做有其理由?!薄暗硪环矫?,禁止特定應(yīng)用程序不但侵犯?jìng)€(gè)人權(quán)利,甚至也會(huì)侵犯我們的隱私,盡管這個(gè)禁令的理由是保護(hù)隱私。在當(dāng)今這個(gè)時(shí)代,消費(fèi)者非常精通技術(shù),并且了解情況。如果政府希望證明禁令的正當(dāng)性,那么,他們應(yīng)該公開一些技術(shù)細(xì)節(jié)或調(diào)查結(jié)果?!?/p>
禁令引發(fā)新的安全問題
Lookout安全解決方案高級(jí)經(jīng)理Hank Schless指出,需要關(guān)注由于禁令本身而可能引起的安全問題。具體來說,由于TikTok和Wechat(在美國市場(chǎng))被封殺,因此不會(huì)發(fā)布補(bǔ)丁或更新。對(duì)于希望利用該應(yīng)用程序的犯罪分子來說,這可能是一個(gè)“黃金時(shí)期”。
“這是有風(fēng)險(xiǎn)的,因?yàn)槿绻腥嗽谌魏我粋€(gè)應(yīng)用程序中發(fā)現(xiàn)漏洞,將無法發(fā)布修復(fù)程序,并且用戶將繼續(xù)承受風(fēng)險(xiǎn),”Schless告訴Threatpost。
另外,由于禁令,那些想要使用Wechat或TikTok的人可能會(huì)轉(zhuǎn)向盜版版本,這將產(chǎn)生一個(gè)巨大的威脅。
他說:“攻擊者可能會(huì)開始通過各種渠道(例如其他社交媒體平臺(tái))分發(fā)該應(yīng)用程序的惡意版本?!薄八麄兛梢源_定屬于TikTok和微信用戶主要人群的目標(biāo),并向他們發(fā)送社交工程消息以及指向惡意應(yīng)用程序的鏈接?!?/p>
這已經(jīng)發(fā)生了:印度禁止該應(yīng)用程序時(shí),網(wǎng)絡(luò)犯罪分子在禁令頒布一周內(nèi)通過社交媒體,短信和消息平臺(tái)發(fā)布了名為“TikTokPro”的東西。
Schless說:“一旦禁令生效,印度的TikTok Pro冒牌應(yīng)用程序背后的攻擊者便能夠在很短的時(shí)間內(nèi)開發(fā)和分發(fā)該應(yīng)用程序?!薄巴瑯拥?,網(wǎng)絡(luò)犯罪分子也能利用美國的類似情況并從公眾對(duì)應(yīng)用程序的需求或竊取個(gè)人數(shù)據(jù)中獲利。每個(gè)人都應(yīng)該對(duì)將來嘗試針對(duì)移動(dòng)設(shè)備分發(fā)這兩個(gè)應(yīng)用程序的偽造版本保持高度警惕?!?/p>