TikTok危害國(guó)家安全?美國(guó)網(wǎng)絡(luò)安全專家表示“看不懂”

aqniu
對(duì)于TikTok和微信的禁令,一部分美國(guó)安全和隱私專家認(rèn)為,此舉對(duì)消費(fèi)者是一個(gè)福音,并指出,與許多社交媒體應(yīng)用程序一樣,這些應(yīng)用程序被過(guò)度使用。例如,TikTok(根據(jù)其隱私權(quán)政策)確實(shí)會(huì)收集電話和社交網(wǎng)絡(luò)聯(lián)系人、GPS位置、個(gè)人信息(例如年齡)以及任何用戶生成的內(nèi)容(例如照片和視頻),它也可以存儲(chǔ)付款信息。

剛剛過(guò)去的這個(gè)周末,TikTok以及微信海外版(Wechat)的命運(yùn)可謂跌宕起伏、峰回路轉(zhuǎn)。

美國(guó)總統(tǒng)特朗普此前以國(guó)家安全為由下禁令,從上周日9月20日起,針對(duì)微信和TikTok的禁令將生效,但在上周六,他又表態(tài)贊成TikTok與美國(guó)公司甲骨文和沃爾瑪?shù)暮献鞣桨浮?/p>

Wechat方面,除了華人微信用戶聯(lián)盟在加州法院初戰(zhàn)告捷外,騰訊公司也祭出騷操作,趕在特朗普禁令之前把微信蘋果應(yīng)用商店的WechatWork企業(yè)微信改了個(gè)名字,變成Wecom。不過(guò)騰訊這波抖機(jī)靈操作安全牛是看不懂的,因?yàn)楦鶕?jù)美國(guó)商務(wù)部的新聞稿,“托管或轉(zhuǎn)移與Wechat相關(guān)的互聯(lián)網(wǎng)流量將是非法的”。

言歸正傳,我們需要重新審視導(dǎo)致這一系列新聞鬧劇的本質(zhì)問(wèn)題:TikTok和Wechat到底有沒(méi)有危害美國(guó)國(guó)家安全和公民隱私?

特朗普于8月6日發(fā)布禁止令的理由只有一個(gè):基于中國(guó)的應(yīng)用程序存在“國(guó)家安全問(wèn)題”。而商務(wù)部長(zhǎng)威爾伯·羅斯(Wilbur Ross)在新聞稿中還補(bǔ)充了一條“隱私侵犯”,因?yàn)檫@些應(yīng)用程序允許“中國(guó)惡意收集美國(guó)公民的個(gè)人數(shù)據(jù)。”

這個(gè)問(wèn)題,從技術(shù)層面來(lái)說(shuō),只有網(wǎng)絡(luò)安全和隱私保護(hù)的專業(yè)人士才最有發(fā)言權(quán)。

近日,Threatpost搞了個(gè)美國(guó)網(wǎng)絡(luò)安全專家研討會(huì),邀請(qǐng)了多位大咖發(fā)聲,是目前為止從技術(shù)層面對(duì)TikTok和Wechat相關(guān)的安全和隱私話題最為專業(yè)的探討。

隱私數(shù)據(jù)收集是一個(gè)行業(yè)共性問(wèn)題

對(duì)于TikTok和微信的禁令,一部分美國(guó)安全和隱私專家認(rèn)為,此舉對(duì)消費(fèi)者是一個(gè)福音,并指出,與許多社交媒體應(yīng)用程序一樣,這些應(yīng)用程序被過(guò)度使用。例如,TikTok(根據(jù)其隱私權(quán)政策)確實(shí)會(huì)收集電話和社交網(wǎng)絡(luò)聯(lián)系人、GPS位置、個(gè)人信息(例如年齡)以及任何用戶生成的內(nèi)容(例如照片和視頻),它也可以存儲(chǔ)付款信息。

Gurucul首席執(zhí)行官Saryu Nayyar通過(guò)電子郵件表示:“在公眾需求、國(guó)家安全和有效的網(wǎng)絡(luò)安全之間取得平衡很有挑戰(zhàn)性。”“社交媒體應(yīng)用程序是公眾演講和影響力的重要平臺(tái),但是我們已經(jīng)看到無(wú)數(shù)事件可以將這些平臺(tái)濫用于任何目的……基于人工智能和大數(shù)據(jù)的分析甚至可以看似普通的信息產(chǎn)生巨大價(jià)值和效用。”

Point3 Security戰(zhàn)略副總裁ChloéMessdaghi同意,由于是擁有龐大用戶群體的社交媒體渠道,TikTok和WeChat值得關(guān)注。但他指出,政府禁令(而不是讓用戶個(gè)人決定自己的數(shù)據(jù)去向)有其自身的問(wèn)題。

她表示:“我們從本質(zhì)上接受了允許(社交媒體)出于其目的收集我們的數(shù)據(jù),而沒(méi)有披露如何使用這些數(shù)據(jù),”“如今,主流的社交媒體公司對(duì)我們的了解比我們自己知道的要多得多,就消費(fèi)者權(quán)益和透明度而言,所有這些社交媒體平臺(tái)的行為都有點(diǎn)像是自治政府。”

但是,她補(bǔ)充說(shuō):“截至目前,尚無(wú)公開(kāi)證據(jù)表明中國(guó)已經(jīng)獲得或使用了這些數(shù)據(jù)。這只是假設(shè),從第一次修正案的角度來(lái)看這是不幸的結(jié)果。2020年,TikTok是占主導(dǎo)地位的平臺(tái)之一,該平臺(tái)已幫助志趣相投的人們共享信息和計(jì)劃,并團(tuán)結(jié)在一起。就像Twitter在‘阿拉伯之春’期間所做的一樣,TikTok在這個(gè)夏天催化了很多進(jìn)步運(yùn)動(dòng),禁止TikTok是一種反動(dòng)。”

沒(méi)有數(shù)據(jù)濫用的確鑿證據(jù)

Comparitech的隱私倡導(dǎo)者Paul Bischoff指出:盡管許多人認(rèn)為TikTok將個(gè)人和使用信息發(fā)送回中國(guó)政府,但尚無(wú)具體證據(jù)表明這種影響已存在于該應(yīng)用程序的現(xiàn)有技術(shù)中。

實(shí)際上,Comparitech對(duì)TikTok的隱私和安全問(wèn)題進(jìn)行了詳細(xì)評(píng)估,沒(méi)有發(fā)現(xiàn)TikTok正在收集用戶數(shù)據(jù)并將其發(fā)送到中國(guó)的證據(jù)。

“沒(méi)有顯示出TikTok可以收集比其他社交媒體應(yīng)用程序更多的數(shù)據(jù),”Paul Bischoff指出:“這在美國(guó)開(kāi)創(chuàng)了審查制度的危險(xiǎn)先例。我們正在禁止中文應(yīng)用程序,但采用了中國(guó)審查制度,后者更令人擔(dān)憂。”

Pixel Privacy的消費(fèi)者隱私專家Chris Hauk表示完全同意Paul Bischoff的看法,他指出:“考慮到?jīng)]有真正的威脅被證明,這(禁令)有點(diǎn)反應(yīng)過(guò)度。”“這項(xiàng)禁令的審查制度使我感到困惑。當(dāng)然,如果需要,可以禁止在政府和某些行業(yè)中使用這些應(yīng)用程序。但是,頒布中國(guó)式的禁令是美國(guó)應(yīng)該做的嗎?”

他補(bǔ)充說(shuō):“在頒布任何禁令之前,需要進(jìn)一步調(diào)查?;谖唇?jīng)證實(shí)的懷疑就去封殺應(yīng)用程序顯然屬于一種審查制度。”

為了解除禁令,可能需要進(jìn)行幾輪深入的技術(shù)審計(jì)。Netenrich的CISO布蘭登·霍夫曼(Brandon Hoffman)表示,技術(shù)審計(jì)包括但不限于代碼庫(kù)審查和流量分析,他補(bǔ)充說(shuō),他希望看到公開(kāi)透明的技術(shù)審查信息。

Hoffman指出:“政府這樣做有其理由。”“但另一方面,禁止特定應(yīng)用程序不但侵犯?jìng)€(gè)人權(quán)利,甚至也會(huì)侵犯我們的隱私,盡管這個(gè)禁令的理由是保護(hù)隱私。在當(dāng)今這個(gè)時(shí)代,消費(fèi)者非常精通技術(shù),并且了解情況。如果政府希望證明禁令的正當(dāng)性,那么,他們應(yīng)該公開(kāi)一些技術(shù)細(xì)節(jié)或調(diào)查結(jié)果。”

禁令引發(fā)新的安全問(wèn)題

Lookout安全解決方案高級(jí)經(jīng)理Hank Schless指出,需要關(guān)注由于禁令本身而可能引起的安全問(wèn)題。具體來(lái)說(shuō),由于TikTok和Wechat(在美國(guó)市場(chǎng))被封殺,因此不會(huì)發(fā)布補(bǔ)丁或更新。對(duì)于希望利用該應(yīng)用程序的犯罪分子來(lái)說(shuō),這可能是一個(gè)“黃金時(shí)期”。

“這是有風(fēng)險(xiǎn)的,因?yàn)槿绻腥嗽谌魏我粋€(gè)應(yīng)用程序中發(fā)現(xiàn)漏洞,將無(wú)法發(fā)布修復(fù)程序,并且用戶將繼續(xù)承受風(fēng)險(xiǎn),”Schless告訴Threatpost。

另外,由于禁令,那些想要使用Wechat或TikTok的人可能會(huì)轉(zhuǎn)向盜版版本,這將產(chǎn)生一個(gè)巨大的威脅。

他說(shuō):“攻擊者可能會(huì)開(kāi)始通過(guò)各種渠道(例如其他社交媒體平臺(tái))分發(fā)該應(yīng)用程序的惡意版本。”“他們可以確定屬于TikTok和微信用戶主要人群的目標(biāo),并向他們發(fā)送社交工程消息以及指向惡意應(yīng)用程序的鏈接。”

這已經(jīng)發(fā)生了:印度禁止該應(yīng)用程序時(shí),網(wǎng)絡(luò)犯罪分子在禁令頒布一周內(nèi)通過(guò)社交媒體,短信和消息平臺(tái)發(fā)布了名為“TikTokPro”的東西。

Schless說(shuō):“一旦禁令生效,印度的TikTok Pro冒牌應(yīng)用程序背后的攻擊者便能夠在很短的時(shí)間內(nèi)開(kāi)發(fā)和分發(fā)該應(yīng)用程序。”“同樣地,網(wǎng)絡(luò)犯罪分子也能利用美國(guó)的類似情況并從公眾對(duì)應(yīng)用程序的需求或竊取個(gè)人數(shù)據(jù)中獲利。每個(gè)人都應(yīng)該對(duì)將來(lái)嘗試針對(duì)移動(dòng)設(shè)備分發(fā)這兩個(gè)應(yīng)用程序的偽造版本保持高度警惕。”

THEEND

最新評(píng)論(評(píng)論僅代表用戶觀點(diǎn))

更多
暫無(wú)評(píng)論