继字节跳动中国员工禁访海外代码后,TikTok被逆向工程再陷隐私风波

2020-06-29 14:14:21
褚杏娟/冬梅
文章摘要: 自出海以来,字节跳动的抖音海外版TikTok屡次陷入隐私问题的讨论中,即便字节跳动已经禁止中国员工访问海外产品代码库,但这件事情依旧在TikTok被逆向工程后引起了Reddit网友的热烈讨论。

自出海以来,字节跳动的抖音海外版TikTok屡次陷入隐私问题的讨论中,即便字节跳动已经禁止中国员工访问海外产品代码库,但这件事情依旧在TikTok被逆向工程后引起了Reddit网友的热烈讨论。

TikTok被逆向工程陷隐私大讨论

近日,一则帖子在Reddit上的讨论热度极高,其内容是一位网友发布了自己逆向工程TikTok的结果。

根据这位发帖作者的描述,他亲自操刀对TikTok进行了逆向工程,并自信地表示对应用程序的运行方式(或至少几个月前的运行方式)了如指掌。他表示,TikTok是一个试图以社交网络之名掩盖其数据收集服务的应用,因为TikTok正在使用一个可以获取联系人或设备等信息的API(小编内心OS:这些信息大把应用程序在获取)。

●手机硬件(CPU类型、进程数、硬件ID、屏幕尺寸、dpi、内存使用量、磁盘空间等);

●已安装的其他应用程序(我甚至已经看到一些已经删除的应用程序出现在分析负载中-也许他们将这些作为缓存值?)

●与网络相关的所有内容(ip、本地ip、路由器mac、wifi接入点名称等);

●是否root/越狱;

●该应用的某些variant在您对IIRC帖子进行位置标记时,默认情况下会大约每30秒启用一次GPS pinging功能;

●TikTok在设备上为“转码媒体”设置了本地代理服务器,但是,由于其零身份验证特征,使得该功能很容易被滥用。

据介绍,TikTok正在执行的许多日志记录都是可远程配置的,除非对本机库中的每个库都进行逆向工程(有趣的是,如果可以跳过他们自定义的OLLVM fork,就可以阅读所有程序集)并手动检查每个混淆的功能。为防止有人进行逆向工程或调试应用程序,他们有多种不同的保护措施。如果他们知道了你想弄清楚他们在做什么,应用程序的行为则会略有变化。也有一些在安卓版本上的代码允许下载远程zip文件,解压缩它,并执行所述二进制文件。

作者给出的其他机构所做的研究,结论与其类似:https://penetrum.com/research

最重要的是,他们甚至没有长时间使用HTTPS。他们在HTTP REST API中泄漏了用户的电子邮件地址,以及用于重置密码的辅助电子邮件,这里面会有用户的真实姓名和生日。如果几个月前MITM攻击该应用程序就可以看到。

总而言之,他们不想让你知道他们收集了多少信息,但将这些数据集中在一个地方会存在巨大的安全隐患。他们用一种算法对所有分析请求进行加密,这种算法会随着每次更新而改变(至少密钥会改变),这样就看不到他们在做什么。如果在DNS级别上阻止与分析主机通信,你也无法使用该应用程序。

Reddit网友评论

为了证明自己做了这些工作,这篇帖子的作者多次在评论区更新并回复留言,并表示:

越来越多开发者让我写个文档或放出来一段代码(帖子上附的视频已经无法观看)证明其中大部分内容是真实的。在我另一台主板故障的电脑上留存着我写的很多笔记,大部分数据都在那台笔记本的SSD中。那是一台Macbook Pro笔记本,因此恢复数据并不那么容易。我有一些frida脚本,将它们推送到我的git服务器上,我还有一些markdown文件和一些与exploit devs开发者的对话日志,但没有其他内容了。为了向每个人提供他们所要求的证明,我可能要重新将应用程序逆向工程,但目前我真没时间做这件事。

我打算使用自己的内容构建一个简单的网站/博客,并在完成后使用链接更新此评论。感谢大家对这个问题的关注,也感谢对我提出的问题表示质疑的人。在当前这个虚假信息时代,我们需要在这种事情上有更多关注度。

字节跳动禁止中国内部员工访问海外代码库

作为出海的企业,字节跳动面对的不仅是来自硅谷科技公司们的竞争,更多的是政治风险,单就隐私问题已经被讨论过太多次了。

此前,已经有消息称字节跳动禁止中国内部员工访问海外产品的代码库。在中国工作、为国内市场开发应用和服务的员工基本被剥夺了访问字节跳动大批海外产品(包括但不止TikTok)“敏感数据”的权限。

据悉,字节跳动的内部权限管理工作在2019年初便已开始。此前,虽然字节跳动的中外产品由各自团队独立运营,但两者共享着一些中间技术系统的团队。权限管理工作开始后,这些团队也进行了分割:中国团队负责中国产品,海外团队负责海外产品。围绕后者的技术“防火墙”建立了起来,中国团队不再拥有对海外产品数据和代码的权限。

据路透社消息,近几个月来,字节跳动正在将所有海外业务的全球决策和研发等权力核心移出中国。字节跳动已经扩大了TikTok在加州山景城的工程和研发业务,而此前北京团队管理的与泛大西洋投资集团、KKR等在内的主要投资者关系也交给了新聘请的驻纽约投资者关系主管Michelle Huang。

今年3月,字节跳动创始人张一鸣发布全员信宣布组织架构全面升级。这次组织架构调整重点在于分别明确了字节跳动国内外业务的管理团队。

国内方面,张利东和张楠分别为字节跳动中国董事长和CEO,整体负责字节跳动中国业务的发展。

海外方面,则由张一鸣亲自负责,字节跳动产品与战略副总裁朱骏与其配合。同时,字节跳动全球管理团队也慢慢建成,成员们各个“出身不凡”:

字节跳动首席运营官(COO)兼TikTok全球首席执行官凯文·梅耶尔(Kevin Mayer)是迪士尼前流媒体服务负责人,被称为迪士尼帝国的“总统候选人”;TikTok全球总法律顾问Erich Andersen此前是前微软首席知识产权顾问;TikTok首席信息安全官Roland Cloutier是曾为美国空军和国防部工作的知名网络安全专家;字节跳动欧洲政府关系与公共政策总监Theo Bertram为前谷歌资深员工;字节跳动全球商业解决方案副总裁Blake Chandlee为原Facebook负责全球商业合作事务负责人…

部分入职字节跳动高管名单,来源:脉脉

至此,字节跳动海外业务的技术剥离和管理团队组建的主要工作基本完成。

被迫“去中国化”的出海企业

张一鸣曾表示,中国的互联网人口只占全球互联网人口的五分之一,如果不在全球配置资源、追求规模化效应的产品,五分之一无法跟五分之四竞争,所以出海是必然的。

2015年,字节跳动正式开始全球化部署,第一次启动了全球化团队,有了外籍员工。经过近5年的摸索和发展,字节跳动海外业务也交出了不错的成绩单。

截至2019年底,字节跳动在全球共有240个办公室和15个研发中心,旗下产品月活用户数超过15亿,业务覆盖150个国家和地区共75个语种。

尤其今年5月,抖音及海外版TikTok在全球App Store和Google Play吸金超9570万美元,蝉联全球移动应用收入榜冠军。之前大家并不特别关注的TikTok也在国内火了起来。

2016年,字节跳动投资了印度新闻应用Dailyhunt,试图复制今日头条的成功但并未掀起大的水花。同年,字节跳动受短视频应用Musical.ly启发推出了抖音,次年推出了TikTok。

2017年底,字节跳动以8亿美元收购Musical.ly,并将Musical.ly合并到了TikTok,TikTok赢得了Musical.ly在美国和欧洲的每月6000多万活跃用户。通过内容运营和精准投放,TikTok获得了更多的用户,连续两年位于全球热门移动应用(非游戏)全年下载量榜单前五名。

但树大招风,以海外最受欢迎的产品TikTok为例,去年2月,TikTok向美国联邦贸易委员会(FTC)支付了570万美元的罚款,理由是其违反了儿童在线隐私保护法案(COPPA),在未经过父母同意的情况下,违规收集13岁以下用户的姓名、电子邮件以及其他个人信息。

另外,TikTok因下架了一位美国青少年批评中国对待穆斯林言论的视频而被质疑其数据处理方式以及中国政府是否拥有访问权。美国参议院也举行了听证会重点讨论TikTok对美国国家安全和公民隐私的重大风险。

由于担心TikTok存在国家安全风险,美国海军、陆军部队、美军陆战队、美国海岸防卫队及空军在今年1月全面禁用TikTok。2月份,美国运输安全管理局工作人员利用TikTok制作并上传视频,解释该局的登机流程和规定,随后官方要求员工停止使用TikTok。此外,众议院民主党人正大力支持美国联邦贸易委员会(FTC)最近对TikTok进行调查的呼吁。

类似的情况也出现在了印度。

印度是字节跳动在海外最大的市场之一。字节跳动在印度的营收已达到4.37亿卢比(人民币4342万元),利润3400万卢比(人民币338万元),旗下产品TikTok、Helo和Vigo Video在印度拥有超过2.5亿用户。

但之前,TikTok平台因出现色情、虐待儿童和歧视妇女等内容而备受争议。去年,TikTok因其色情内容在印度被封禁,随后TikTok被App Store和谷歌应用商店下架了8天。今年3月初,TikTok再次因“硫酸攻击”视频受到抵制。

最近一款声称可移除用户手机里中国Apps的应用Remove China Apps风靡一时,短短两周下载量已超过100万人次,成为印度区Google Play中最热门的应用。这反映出了印度反华情绪的高涨。

据悉,最近两个月,由于Covid-19大流行导致市场营销和广告预算减少,以及反华情绪持续高涨,TikTok在印度的下载人数已经减少。

为迎合当地监管,TikTok在去年引入了第三方机构为平台内容管理政策提供咨询服务和建议。据字节跳动员工透露,目前TikTok的具体内容审核原则,会根据审核对象所在地的法律、法规、文化和习俗不同,而采用不同的审核尺度。

今年疫情期间,TikTok在国内的海外内容审核团队解散,100多人被迫转岗。TikTok方面表示:“我们尊重不同文化和法律背景下对于内容健康的要求,一直把相关的内容运营管理工作交给熟悉当地文化和法律的本土团队负责。”

除了审核规则更加本地化,TikTok也开始在审核透明度上下功夫。今年3月,TikTok宣布计划在加利福尼亚州洛杉矶建立一个实体透明度中心,该中心将向公众开放,包括外部专家和新闻界人士,现场演示审核人员审核和标记有可能违反TikTok政策的内容。

据悉,目前TikTok的内容审核主要包括机器预审和人工后续审核。以直播为例,机器会对直播视频进行图片抽帧分析,如果是纯图片、垃圾信息等低级质量问题,机器会打上“不推荐”标签进行限流。但如果经高级分析得出是儿童色情、恐怖主义等严重违法内容则会被直接下架。

机器也会将高风险内容发给审核员对结果进行二次分析。审核员查看机器提交的截图或直接查看实时视频内容,打上各种标签。除了最初的“推荐”和“不推荐”标签外,现在TikTok还加上了“儿童色情”、“裸露”、“性”、“仇恨言论”、“宣扬暴力”、“宣扬恐怖”等新标签,不同标签对应不同的处理结果。此前机器自动处理的视频如果热度达到特定阈值,也会召回人工复查处理结果是否合适。

字节跳动出海后的水土不服症状已经非常明显,“去中国化”成了其解决当前困境的一剂药。但药效如何还要看海外监管部门买不买账。

信息化软件服务网 - 助力数字中国建设 | 责编:夏丽
文明上网,理性发言!请遵守新闻评论服务协议
评论