Facebook爆出5000万用户信息数据被“剑桥分析”公司泄露,Instagram存在安全漏洞使得用户数据存在泄露的可能。国外一名高级软件工程师则认为TikTok 与这两个公司一样涉及隐私泄露问题
两个月前,Reddit用户bangorlol在讨论TikTok时发表了一条评论。Bangorlol声称已经成功地对TikTok进行了逆向分析,并分享了他对中国短视频社交平台业务的了解。总的来说,他认为TikTok存在严重的用户数据非法利用和其他问题,强烈建议用户永远不要再使用TikTok。考虑到TikTok是2019第四大最受欢迎的免费iPhone app,这个发现相当令人担忧
对TikTok的分析
以下为bangorlol发布的分析帖子翻译内容,第一人称叙述角度。
我对这个app进行了逆向分析,可以说是非常了解这个app的运行机制了(至少几个月前的版本是非常了解的)
TikTok实际上是一家数据收集服务公司,它不像Fackbook或者Instagram那些社交网络遮遮掩掩的盗取用户数据。它们正在使用一个API来获取你的短信,联系人,或你的设备信息。可以获取到的数据包括以下几个方面
1.手机硬件(cpu类型,cpu核心数,硬件id,屏幕尺寸,dpi,内存使用情况,磁盘空间,等等)
2.手机上已经安装的其他应用程序(我甚至看到一些我已经删除的应用程序)
3.所有与网络相关的东西(ip地址,本地ip地址,路由器mac,手机mac, wifi名称)
4.以上操作都不需要你的手机处于越狱状态
5.该应用的一些变体当时启用了GPS ping,大约每30秒激活一次——如果你曾经为一个post IIRC标记位置,这是默认启用的
6.他们在你的设备上设置了一个本地代理服务器来转换视频格式,但这很容易被滥用,因为它没有身份验证
最可怕的是,他们所做的大部分日志都是远程可配置的,除非你对他们的每个本地库进行逆向(如果你能够通过他们定制的OLLVM分支,那么阅读整个程序会很有意思)和手动检查每一个混淆函数。他们有几个不同的保护,以防止你逆向或调试应用程序。如果该软件知道你试图逆向分析它,应用程序的行为会略有改变。在Android版本中也有一些代码片段,允许下载远程zip文件,解压缩它,并执行上述二进制文件。一个手机app完全没有理由需要这个功能。
最重要的是,他们已经很久没有使用HTTPS了。他们在HTTP REST API中泄露了用户的电子邮件地址,以及用于重置密码的二级电子邮件。在几个月前,如果你对这个程序实施中间人攻击,你甚至还可以获取到用户的真实姓名和生日。
他们为用户提供一种“病毒式传播”的体验,吸引他们留在平台上。不管你第一个TikTok帖子是不是质量很高,你都有可能获得相当多的赞。这个app还有很多令人毛骨悚然的老人和孩子们的直接接触,我个人也看到过(并报告过)一些非常可疑的东西:40-50岁的男人和8-10岁的女孩用性暗示的歌曲进行二重唱。这些视频被公开发布。
事情是这样的。他们不想让你知道他们收集了多少关于你的信息,所有这些数据集中在一个地方,对安全的影响是巨大的。他们用一种算法对所有分析请求进行加密,这种算法会随着每次更新而改变(至少密钥会改变),这样你就看不到他们在做什么。他们还这样做,如果你在dns级别上阻止与他们的分析主机的通信,你就无法使用这个应用程序。
总的来说,我对Instagram、Facebook、Reddit和Twitter都进行过逆向分析,他们收集的数据远没有TikTok收集的那么多,而且他们肯定不会像TikTok那样直接试图隐藏发送的信息。将Instagram、Facebook、Reddit和Twitter和TikTok比较就好像拿一杯水和海洋做比较。
我是一个专注于对应用程序进行逆向分析,研究它们的工作机理的书呆子。称TikTok为广告平台是一种保守的说法。我认为TikTok本质上是针对儿童的恶意软件。请不要使用TikTok。不要让你的朋友和家人使用它。
bangorlol 简介
以下是boredpanda网站对TikTok分析作者bangorlol的访谈内容:
bangorlol不是一个脚本小子。在我职业生涯的最后几年里,我一直致力于对移动应用程序逆向分析,分析它们是如何工作的,并围绕它们构建额外的第三方功能。最近,我主要逆向了我们公司合作伙伴的api,这样我们就不用等他们为我们定制一些东西了。
当我有时间的时候,我会去寻找bug的奖励,或者帮助我的朋友解决他们的问题(或者他们的CTF题)。
总的来说,我喜欢研究软件安全,每次换工作时,我都会发现新公司产品的几个主要的缺陷。
实际上我是一个全能王,因为我对软件工程的大多数领域都很熟悉,对许多安全话题也都很熟悉。
据报道,中国的开发团队花了200天的时间来创建最初版本的TikTok,但是当Bangorlol把他的目光放在TikTok上时,TikTok就像是一个待宰羔羊。不过,它确实试图反抗。
TikTok花了很多精力阻止像我这样的人搞清楚他们的应用程序是如何工作的。
在应用程序的所有级别上都有大量的混淆,从标准的Android变量重命名到字节跳动fork以及为它们的原生内容定制ollvm。
它们隐藏函数,阻止调试器attach,并使用许多狡猾的技巧来增加难度。
老实说,这比我所瞄准的大多数目标都要复杂和烦人,Bangorlol解释道。
这种保密是可以理解的。据彭博社(Bloomberg)报道,TikTok的收入与它的受欢迎程度成正比,它的所有者字节跳动(ByteDance)去年的净利润为30亿美元。
Bangorlol认为,在当今社会,我们已经将泄露个人信息常态化,不再对隐私和安全有任何期望,所以把我们的数据和钱一起交给TikTok并不奇怪。“大多数“正常人”的普遍共识是,他们不能/不会成为目标,所以这没什么。或者他们没什么好隐瞒的,所以我为什么要在乎?
请记住,Bangorlol的研究结果是基于几个月前的TikTok版本,并且已经几个月没有分析这个应用了。这款应用程序可能会改变指纹技术,或者添加或删除一些令人厌恶的功能。我强烈鼓励那些比我聪明得多、有更多空闲时间的安全研究人员来看看这个应用程序,尽可能仔细检查每一个细节。他补充道,至少Android版本的本地库中有很多东西我无法弄清楚,也没有时间做进一步的调查。
Bangorlol说:“TikTok可能不符合被称为恶意软件的确切标准,但它绝对是穷凶极恶的(在我看来)。”各国政府禁止它是有原因的。不要使用这个应用程序,不要让你的孩子使用它。告诉你的朋友不要再用它了。它提供给你的只是一个快速的娱乐来源,你可以在其他地方得到,而不用把你的数据交给中国政府。你相当于直接将自己和你的人际网络(工作和家庭)置于危险之中。
网友评论
网友1:绝对精彩的分析。如果有人问你“不是所有的应用程序都在追踪你的数据,那跟facebook有什么不同吗?”你会怎么回答?
网友2回复:“我对Instagram、Facebook、Reddit和Twitter都进行过逆向分析,他们收集的数据远没有TikTok收集的那么多,而且他们肯定不会像TikTok那样直接试图隐藏发送的信息。将Instagram、Facebook、Reddit和Twitter和TikTok比较就好像拿一杯水和海洋做比较。”我想他用这段话回答了这个问题。
网友3回复:事实是,Facebook拥有很多公司,比如whatsapp和instagram。我猜他们把所有的数据放在一起来获取更精确的用户数据
网友4:我在一家提供视频基础设施的公司工作,我们的产品之一是一个分析套件。这个分析套件提供了他提到的所有数据,而且还提供了更多。Turner, Discovery, New York Times, Hulu,和大家最喜欢的公司MindGeek都在使用我们的分析套件,还有上百个其他的大客户。作者说,”这个应用程序的一些变体当时启用了GPS ping,大约每30秒一次”,这叫做心跳。应用程序或应用程序中的视频播放器必须有心跳,这样播放器才能检测到观众是否仍在观看视频等等。我们的分析+视频播放器服务每8秒发送一次常规心跳,来判断你的播放进度
网友5:几乎所有的社交媒体平台都是如此。如果它是免费的,那么用户就是产品。
网友6:我希望中国不会发现我推翻他们政府的计划
网友7:有按键记录吗?所以他们有我的网上银行信息和邮箱密码?
网友8回复:不,如果是这样的话,它将是整个手机操作系统的一个主要漏洞。如果我说错了,请纠正我,但我觉得他们最多能做的是在第三方网站上使用cookie(不包括银行网站和类似的网站),并跟踪你输入的内容。它不太可能包含任何对你过于敏感的东西,只会让他们收集更多的数据。当然,他们可以跟踪你在他们自己的应用程序中输入的任何内容。
网友9:啧啧啧,你会发现所有的“animal ears”、“gender swap”、“aging”应用程序都只是收集照片,用于面部识别数据库。
网友10:人们似乎必须不断被提醒中国是什么
网友11:它只播放视频,但会消耗电池,你会发现你的设备发热严重,这证明它不仅仅是播放视频。
总结
bangorlol分析了TikTok获取用户数据的行为,并认为TikTok相当于一个恶意软件。但从网友评论看来,只有少部分人对他的说法买账。