抖音又被抓现行:窃取用户ID且隐藏数据传输内容

简述:

抖音海外版TikTok被华尔街日报(以下简称WSJ)爆出其安卓版会在用户不知情的情况下获取设备MAC地址(所有可联网设备都有的、全球唯一的标识符),且其传回的数据在标准HTTPS的基础上还有一层额外加密,使得外界根本无从得知它到底获取了用户的哪些信息。


解释:

正常情况下在你安装app时其会生成一个广告ID(你的良民证),用来识别你的用户数据和行为(上网吧、开房),以向你推送定制化的广告;一般来说你可以选择重置这个广告ID(你拿到了新的良民证)将“你”和“你的数据”之间的关联断开(你老婆就查不出你以前跟谁开过房了XD)。

但MAC地址就相当于你的指纹,无论换多少良民证,只要指纹一扫,你以前的花花草草莺莺燕燕就全暴露给你老婆了......除非你把手剁了(更换新设备)。

直到去年十一月,Google Play下载的抖音都在绕过系统限制(谷歌苹果均禁止App获取MAC地址)在用户不知情的情况下获取设备MAC地址,其后基于白宫对其调查的压力停止。

此举违反了Google Play的条款,谷歌拒绝置评表示正在调查中。

如果是其他app搞这种事,最多就是为了推送广告获利,但对于支产抖音,不惮以最坏的恶意揣测它,就是为了识别关键设备和用户(国防承包商、军事人员),且最为吊诡的是第二点,其传输数据的额外加密。

因为标准HTTPS加密以足够确保数据安全传输,但抖音在其基础上又增加了一层加密。此举不仅不会提高安全性,且增加了服务器负担,所以绝非商业目的。

在严格限制app权限的正版安卓上偷设备的MAC地址、在更严格的苹果上偷用户剪切板,这只是抖音一个、且还是在隐私规范完备的国外,那在无任何限制甚至为虎作伥的支产安卓上呢?这些支产应用们又能干出些什么?所以奉劝各位拿着毫无底线的支产安卓的葱油,赶快扔了你的手机,你现在就是在老大哥面前裸奔。


原文:
https://www.google.com.au/amp/s/www.wsj.com/amp/articles/tiktok-tracked-user-data-using-tactic-banned-by-google-11597176738
17
分享 2020-08-11

29 个评论

有一个疑问吗,怎么绕过的系统限制拿到的mac呀?这也太流氓了,不过他具体通过什么手法拿到的呢?因为mac每过一跳会换一下,不像ip那么好拿呀,难道icmp?那也没用mac呀?求葱油科普
有一个疑问吗,怎么绕过的系统限制拿到的mac呀?这也太流氓了,不过他具体通过什么手法拿到的呢?因为m...

MAC地址是和硬件有关,终身不换的,但可以通过软件修改来伪装
你说的“每过一跳会换一下”是在网络传输的过程中,下一跳的MAC地址信息发生变化,而不是电脑/手机本身的MAC地址变化
MAC地址是和硬件有关,终身不换的,但可以通过软件修改来伪装你说的“每过一跳会换一下”是在网络传输的...

对呀,所以mac只有本地意义,frame里面的是没用的。那么他怎么拿到的本机mac?因为他在应用层,他是不可能有权限去执行链路层的功能的,所以怎么拿到的mac?
有一个疑问吗,怎么绕过的系统限制拿到的mac呀?这也太流氓了,不过他具体通过什么手法拿到的呢?因为m...

就像@假行僧说的,MAC是设备ID是不会变的,具体怎么拿到的文章没写,我猜应该是安卓的bug
对呀,所以mac只有本地意义,frame里面的是没用的。那么他怎么拿到的本机mac?因为他在应用层,...

操作系统会提供相应API给应用层获取硬件信息,所以你说的“链路层功能”属于操作系统的功能,所以应用调用封装好的系统API就够了
对呀,所以mac只有本地意义,frame里面的是没用的。那么他怎么拿到的本机mac?因为他在应用层,...

不太明白你所说“MAC只有本地意义”是什么意思,一个网卡出厂就带了全球唯一的一个MAC地址,相当于身份证
电脑上可以通过系统API轻松拿到本机MAC,安卓系统的API有何限制我并不清楚,如果是有限制那么可能是通过悄悄取得相应权限或者什么漏洞来获取的吧
你在说什么大哥,链路层属于操作系统功能?我书读得少。。。

我意思是操作系统协调并封装硬件功能为API,向应用层提供。
我意思是操作系统协调并封装硬件功能为API,向应用层提供。

哈哈哈,好了不杠精了。我提这个疑问是因为我觉得这个信息不一定是真的,因为mac那玩意获取了鸡肋。你说用于审查吧,你给他们一个手机他们也不知道怎么查到mac,我不是黑共匪,mac是多少位的什么数他们都不一定知道。之前有人说mac可以当机器指纹,安卓明明可以读电话号码,读s/n,imei等各种信息,还可以读你在安卓上面的其他账户,之前有葱油推特定位用的就是这个。想定位手机用不着出力不讨好的去获取mac,根据内存容量s/n,iemi可以明着生产机器指纹,何必冒这么大风险去拿mac呢。感觉这新闻和武装押运车去亚运垃圾有点异曲同工之妙。。。
所以有葱油知道WSJ是怎么测出来吧的吗...好奇
哈哈哈,好了不杠精了。我提这个疑问是因为我觉得这个信息不一定是真的,因为mac那玩意获取了鸡肋。你说...


可以看出来你是外行,只靠科普文章理解,没有自己编过程序。别人说的都是正确的,抬杠的是你。我相信其他几位有最基本的编码能力。
可以看出来你是外行,只靠科普文章理解,没有自己编过程序。别人说的都是正确的,抬杠的是你。我相信其他几...

感觉你这个comment和中共说美国不民主是一样的,我就问你你有CCIE编号吗?你明白Cisco最新的DNA center架构中LISP技术是怎么实现的吗?不知道我可以教你,另外我的计算机网络基础不需要你评判,Cisco的水晶牌为我证明。。。哈哈哈哈
可以看出来你是外行,只靠科普文章理解,没有自己编过程序。别人说的都是正确的,抬杠的是你。我相信其他几...

当然为了防止你说我吹牛逼,在不违反保密协议的情况下,我提供一点外人不知道的LISP的细节,他是用Go语言写的,因为Go语言在团队协作上面有优势,而且以后代码的重用和理解比较方便,这是当时我们开会的时候说的。你查吧,你如果可以查到这个细节,算我输。另外你觉得上面那个问题太难的话,我再问你一个简单点的,OSPF的LSDB有几种,分别是在什么时候使用?如果答不上来的话,麻烦去补补基础,不要在这里给人家瞎扣帽子,不好
Engadget:《华尔街日报:TikTok 曾利用 Android 漏洞追踪用户 MAC 地址》
https:// cn . engadget . com/tiktok-device-identifier-100006360.html

日前华尔街日报对 2018 年至 2020 年间 TikTok 的多个 Android 版本进行详细分析,希望以此来确定这项争议服务搜集用户数据的实际情况。结果他们发现其搜集的信息量「无异于一般移动 app」,但是在去年 11 月前差不多 18 个月的时间内,TikTok 曾有过利用已知 Android 漏洞追踪使用者 MAC 地址的行为。

一般来说,硬件的 MAC 地址不会有变化,它可以被当成设备的识别特征,用于指向性广告或其它追踪目的。Google 对第三方 app 是有禁止搜集 MAC 地址的规定,他们推崇的匿名广告 ID 方案允许用户重设数据,相比 MAC 地址可以更好地保护个人隐私。TikTok 之前估计是发现自己触碰了红线,因此在去年 11 月 18 日的更新后,软件中追踪 MAC 地址的部分已经被完全去除。面对华尔街日报最新的调查结果,TikTok 也强调「当前版本并不会搜集使用者的 MAC 地址信息」。

虽然说将硬件和用户绑定在一起追踪的行为,在当今的移动 app 业界已是屡见不鲜而且屡禁不止,但对正处在风口浪尖的 TikTok 来说,被曝光这样的历史,负面影响可能就会被成倍放大了。
不太清楚啥意思,但我android某些apps(不是支產apps)封鎖了我,是根據手機的唯一id,換手機才能繞開,換手機號碼,換ip,換wifi都沒用
不太清楚啥意思,但我android某些apps(不是支產apps)封鎖了我,是根據手機的唯一id,換...

那个不是mac,是iemi码,拿mac 属于出力不讨好的行为,想定位机主,iemi码,sn都可以,废了半天劲,搞个mac可以定位不假,但是人家别的方式都可以何必呢?这就真有点做无用功的意思了
感觉你这个comment和中共说美国不民主是一样的,我就问你你有CCIE编号吗?你明白Cisco最新...

------ccie就是个笑话,和网络安全关系不大,不懂可以不说话
不太清楚啥意思,但我android某些apps(不是支產apps)封鎖了我,是根據手機的唯一id,換...

同时更换才有效,相当于更换社会身份,防止大数据,远离支产APPs,很难
不太清楚啥意思,但我android某些apps(不是支產apps)封鎖了我,是根據手機的唯一id,換...

必须同时更换才有效,相当于更换社会身份,防止大数据,远离支产APPs,很难
MAC可以判断厂家与型号。前三个字节表明厂家型号,后三个字节表明机器编号。我觉得这才是主要原因。

安卓10已经不能获得IMEI和MEID了,只有安卓ID。但是安卓ID可以靠重置手机进行更改。然而丧心病狂的抖音仍然想要获得手机的唯一编号,就对MAC下手了。

还有根据网上说的,可以用扫描的方式获取MAC。
------ccie就是个笑话,和网络安全关系不大,不懂可以不说话

你说的很好不懂可以不说话,自己查查再说也行
IOS7和ANDROID8开始,系统就关闭真实MAC接口了,请求返回都是假的。
有一个小偷没有得手,不是因为良心发现,而是技术不够
 (给拜登先生和贺锦丽女士的一封信)请知晓拜登联系方式的网友转发, 谢谢!

亲爱的乔和卡米拉:

我是您的支持者。

我们知道您可能会成为美国新总统,我很相信一定会是这样,而且我和我的朋友们都希望这个梦想早日实现。

如您所知,我们来自那个国家,拥有一个特殊的组织(我的意思是CCP),他们制造了这种Corona –Virus,并有目的地将其传播到全世界。

我感到羞耻。

在美国,对总统特朗普来说,大流行不是他的错,但如今对病毒传播的反应却是一场噩梦,这肯定是他的错。

如何继续对抗病毒,我们有一些很好的例子可以从中学习:

台湾,韩国,日本和加拿大。

我们可以简单地说:强制戴口罩,保持6英尺的社交距离…

在这封信中,我不会谈论如何控制病毒的传播。我只想谈谈如何赢得选举以及如何规划我们的历史性政治策略。

“中国!”

那一天川普在推特上说。

是的,必须保持压力去指责中共--- 简而言之,他们与纳粹法西斯主义者和斯大林主义者一样,烂杀无辜者。时至今日,中共病毒已经杀害了我们– 16万名美国人。我们有500万人感染了这种人造病毒(闫丽梦博士提供了充足的证明)!

如果您想赢得Trump的支持者的心,您需要给中共一点颜色了!

我记得在第二次世界大战中,总统艾森豪威尔(Eisenhower)的祖先来自德国,但他率领我们美国的盟国与纳粹作了艰苦卓绝的斗争,最后我们赢得了胜利。

我和我的朋友来自中国,可是我们讨厌中共,这是有逻辑的,因为中共太邪恶了,犯下了许多危害人类的罪行。

其次,我们如何与新纳粹-中共作战?

a)我们应该依靠我们的盟友:5眼联盟,还有德国,日本,法国,台湾;在我国内部,我们不但要依靠我们的民主党人,还要依靠包括迈克·庞培先生和史蒂夫·班农先生在内的共和党人,虽然他们有些不好的作为,但是他们是我们的支持力量,可以帮助我们推翻中共(当今我们人类的历史中最邪恶的敌人)。

顺便说一句,我支持BLM运动;不过目前,推翻中共是第一要务。

b)我们从人类历史中得到一个警告信息:在竞赛(战争或其他形式的政治游戏)中,强大而正直的力量并不总是像,我们在第二次世界大战中击败纳粹那样,我们也可能会输掉。

最著名的例子之一:六国论。

发生在2000年前。在现在的中国,分有7个独立国家:秦,燕,赵,楚,齐,韩,魏。

秦不是最强大的,也不是最先进的文明(楚,齐和赵在科学和技术上都有更多优势)。而且,秦的军事实力也不是最强大的。

然而,最后秦赢了,可悲的是其他6国沦陷,无论国王和人民多么文明,战斗多么英勇,最终他们失败了,有数百万人被杀。

2000年前,在我们人类的历史上,秦是世界上第一个法西斯主义国家(第一个法西斯分子不是贝尼托·墨索里尼!),它与第二次世界大战的纳粹一样邪恶。

例如,秦赢得了昌平战役并击败了最强大的(军事)国家赵国,然后秦处决了40万赵的战俘!

为什么秦赢了?即使它是如此邪恶,在某些领域它并不那么的强大?

秦怎么赢呢?

原因在这里:1000年前,宋代著名作家苏洵写了一篇文章来描述根本原因,请参阅附录1《六国论》。

“六个国家的沦陷不是由于其劣质的武器或战斗失败,而是由于它们贿赂了秦国,导致其实力受到削弱,这实际上是其毁灭的原因。可能会有人问:既然六个国家接连灭亡了,这是否都是因为他们贿赂了秦国?答案是:没有贿赂的人因他人这样做而灭亡。前者没有后者的强大支持,同样地也陷落了。这就是为什么我说贿赂秦是他们崩溃的根源。

给您写这封信的目的是:

如今,中共的实力不如美国,科学和技术还不如日本、德国,但是,正如《六国论》所述,美国和我们的联军也有可能会失败!

苏洵发现:互相征战的六个堕落的国家(类似于Trump和我们今天的争斗),无法团结,他们被秦贿赂,各个击破。

内维尔•张伯伦https://zh.wikipedia.org/wiki/%E5%86%85%E7%BB%B4%E5%B0%94%C2%B7%E5%BC%A0%E4%BC%AF%E4%BC%A6
与《六国论》中所揭示的六国灭亡的例子相同的道理。二战时期的英国首相内维尔•张伯伦对德国采取了同样的绥靖政策:

张伯伦和法国总理达拉第一起在慕尼黑和希特勒签署了《慕尼黑協定》,允许德国吞併苏台德地区,以及將南斯洛伐克割予匈牙利,几乎答应了希特勒的一切要求,只是要求希特勒不再发动新的战争。回国后,在机场张伯伦就挥舞着协定宣称“这是历史上第二次英国首相从德国带回保持尊严的和平,我相信这就是我们一个时代的和平。”

我可能会问,谁在不断喂养中共,谁使邪恶的中共变得如此强大?

答案是:“是我们-----美国。”

是的,从乔治·布什,比尔·克林顿和奥巴马,特别是比尔·克林顿时代和奥巴马时代开始,我们允许中共加入WTO,喂大喂肥了中共这条恶狗,今天它制造病毒来杀我们;如果然后您继续这样做,中共将成为秦,而我们所有人都将成为其食物。

中共的诸多恶行,这里仅仅略举一二。例如:广西“杀人、吃人别动队”

Here are just a few of the many evil deeds of the CCP. For example: Guangxi "Killing, Cannibalism"

https://zh.wikipedia.org/wiki/%E5%B9%BF%E8%A5%BF%E6%96%87%E9%9D%A9%E5%B1%A0%E6%9D%80

https://en.wikipedia.org/wiki/Guangxi_Massacre

所以,要保持警惕!

我们应该聪明和团结。

·       另一个不能相信中共的重大原因:从科学和逻辑的角度解释为什么武汉冠状病毒是人造

        https://nerdhaspower.weebly.com/article-in-chinese


·        关于中共法西斯与生化武器, 请阅读

         迟浩田:《战争离我们不远,它是中华世纪的产婆》

         https://bbs.aboluowang.com/thread-27164-1-1.html



顺便说一句,我总是投票给左翼政党-民主党,我喜欢英国工党,等等。

但是,以前我讨厌史蒂夫·班农(Steve Bannon)和彭佩奥(Pompeo),但在大流行发生之后,我确实相信他们为打击中共所做的大部分工作都是正确的。如有可能,请在大选获胜后让彭佩奥参与您的内阁。

另一方面,许多聪明诚实的人逃离了中国,但是他们喜欢共和党而不是我们民主党,但是我们应该倾听他们的声音,他们的观点往往是是正确的:

他们的名字:

程晓农

陶杰

袁弓夷

王丹

郭文贵

闫丽梦


谢谢!

您真诚的:

约翰

要发言请先登录注册

要发言请先登录注册