抖音又被抓现行：窃取用户ID且隐藏数据传输内容

简述：

抖音海外版TikTok被华尔街日报（以下简称WSJ）爆出其安卓版会在用户不知情的情况下获取设备MAC地址（所有可联网设备都有的、全球唯一的标识符），且其传回的数据在标准HTTPS的基础上还有一层额外加密，使得外界根本无从得知它到底获取了用户的哪些信息。


解释：

正常情况下在你安装app时其会生成一个广告ID（你的良民证），用来识别你的用户数据和行为（上网吧、开房），以向你推送定制化的广告；一般来说你可以选择重置这个广告ID（你拿到了新的良民证）将“你”和“你的数据”之间的关联断开（你老婆就查不出你以前跟谁开过房了XD）。

但MAC地址就相当于你的指纹，无论换多少良民证，只要指纹一扫，你以前的花花草草莺莺燕燕就全暴露给你老婆了......除非你把手剁了（更换新设备）。

直到去年十一月，Google Play下载的抖音都在绕过系统限制（谷歌苹果均禁止App获取MAC地址）在用户不知情的情况下获取设备MAC地址，其后基于白宫对其调查的压力停止。

此举违反了Google Play的条款，谷歌拒绝置评表示正在调查中。

如果是其他app搞这种事，最多就是为了推送广告获利，但对于支产抖音，不惮以最坏的恶意揣测它，就是为了识别关键设备和用户（国防承包商、军事人员），且最为吊诡的是第二点，其传输数据的额外加密。

因为标准HTTPS加密以足够确保数据安全传输，但抖音在其基础上又增加了一层加密。此举不仅不会提高安全性，且增加了服务器负担，所以绝非商业目的。

在严格限制app权限的正版安卓上偷设备的MAC地址、在更严格的苹果上偷用户剪切板，这只是抖音一个、且还是在隐私规范完备的国外，那在无任何限制甚至为虎作伥的支产安卓上呢？这些支产应用们又能干出些什么？所以奉劝各位拿着毫无底线的支产安卓的葱油，赶快扔了你的手机，你现在就是在老大哥面前裸奔。


原文：
https://www.google.com.au/amp/s/www.wsj.com/amp/articles/tiktok-tracked-user-data-using-tactic-banned-by-google-11597176738