4月14日消息,iOS开发者汤米·米斯克(Tommy Mysk)、塔拉·哈吉·巴克瑞(Talal Haj Bakry)发现抖音海外版存在一个漏洞,可以使用户的观看记录被运营服务商等获得,黑客可以将视频发布到用户的个人账户。
他们在一篇博文中解释道,抖音海外版存在这一漏洞的原因是,它利用未加密的 HTTP 从内容分发网络下载内容。这种方法虽然有助于提升性能,但不如使用 HTTPS 安全。"TikTok 应用程序和 TikTok 内容分发网络之间的任何路由器都可以轻松列出用户下载并观看的所有视频……公共 Wifi 运营商,Internet 服务提供商和情报机构可以毫不费力地收集这些数据。"Mysk 和 Bakry 写道。
在演示中,两名开发者利用虚假的新冠肺炎视频取代了世界卫生组织的视频。此外他们还成功地使用相同的流程在其他经 TikTok 验证的帐户上上传了虚假内容,例如红十字会视频平台的官方资料。在最后,米斯克呼吁抖音海外版遵守数据隐私和保护方面的业界标准。
然而,这并不是第一次 TikTok 被爆出漏洞。早前以色列网络安全公司 Check Point在研究和攻防中发现,TikTok 的基础架构设计使得黑客有机会向 TikTok 用户发送带有恶意链接的信息。通过这个漏洞,黑客能够操纵用户数据,攫取个人隐私数据。具体包括:掌握他人的TikTok账户并操纵账户里面的内容、删除视频、上传未经授权公开的草稿视频、将私人“隐藏”视频公开泄露保存在帐户上的个人信息,例如私人电子邮件地址等。
是不是细思极恐?在攻击者的眼里,你的抖音账户可能就是在“裸奔”。
此次TikTok再被曝出现漏洞,无疑进一步加剧了公众对于隐私泄露的担忧。此前,一网络安全公司Lookout的研究负责人Christoph Hebeisen说:“TikTok可能更着重于快速增长并为用户构建新功能,而不是巩固安全性,像这样的公司有安全漏洞是在我预料之中的。”
不过对于抖音而言,其更为担忧的是,在其“出海之路”上,这两次漏洞事件却非常有可能成为一个导火索。
本来,在TikTok在海外的发展就并非一帆风顺。上个月,两名美国参议员引入新的一项法案,要求禁止联邦政府所有雇员在政府配发的设备上使用抖音海外版TikTok。而在此之前,因TikTok侵犯用户隐私、滥用数据及威胁网络安全等问题,美国国务院、国防部、国土安全部及美国运输安全管理局已陆续禁用抖音,此次议员进一步要求将TikTok的禁用范围扩大到整个联邦政府,则更加反映出美国政府对TikTok实施“国家级封杀”的决心。
除此之外,Tiktok还面临隐私数据保护问题。2019年2月,美国联邦贸易委员会(Federal Trade Commission)对TikTok提出投诉,称其非法收集未成年人的个人信息。投诉称,Musical.ly(被字节跳动收购)违反了《儿童在线隐私保护法》,该法要求网站和在线公司在收集个人信息之前,要求13岁以下的儿童征得父母的同意。最终,TikTok被美国联邦贸易委员会罚款570万美元——这是美国史上针对儿童隐私案例的最大罚款。
抖音海外版TikTok作为字节跳动出海之路的先锋大将,本承担着为字节跳动在国外“开疆扩土”的使命,然而因无视用户权益的本性及在法律边缘徘徊试探的“喜好”,让 TikTok不止遭到美国的连番打击,更是成为各国监管机构的“常客”,频遭封禁。
2018年7月,因内容存不良影响,TikTok在印度尼西亚被封禁;
2019年2月,因色情和极端内容,TikTok被孟加拉国政府勒令下架;
2019年4月,印度立法者表示TikTok中出现色情、网络欺凌等内容,认为TikTok导致了青少年的“文化堕落”现象,随后被下架处理;
2019年7月,英国信息专员办公室也在对TikTok进行调查,以确定它是否违反了为未成年人及其数据提供特殊保护的欧洲隐私法;
……
不单是抖音出海风波不断,今日头条海外版Top Buzz、火山小视频海外版Vigo Video即便消耗了巨大财力在国外也仍是生存艰难。去年9月,据外媒The Information独家披露,字节跳动正在与包括美国媒体公司在内的少数潜在买家进行谈判,试图“甩卖”这个受到不同国家法律、民族差异、宗教信仰等挑战的Top Buzz。而另一位字节跳动"互娱出海"部队成员Vigo video,在中东市场进行了一年多的尝试之后,最终在去年年底宣告停运。
此前曾有专家指出,字节跳动出海之路坎坷不断、四面楚歌的窘境,根源在于其自身审核机制缺失、侵犯用户隐私、误导未成年人等诸多问题。一味盲目追求流量以及商业变现,让字节跳动在“保护用户隐私和数据安全”方面,还远远赶不上其自身扩张的步伐。或许,字节跳动真的应当放缓脚步,认真思考下企业的社会责任,回归到“记录美好生活”的愿景本身上来。
|
