本文来自微信公众号:AI前线(ID:ai-front),作者:褚杏娟、冬梅,原文标题:《继字节跳动中国员工禁访海外代码后,TikTok被逆向工程再陷隐私风波》,题图来自:IC photo
自出海以来,字节跳动的抖音海外版 TikTok 屡次陷入隐私问题的讨论中,即便字节跳动已经禁止中国员工访问海外产品代码库,但这件事情依旧在 TikTok 被逆向工程后引起了 Reddit 网友的热烈讨论。
一、TikTok 被逆向工程陷隐私大讨论
近日,一则帖子在 Reddit 上的讨论热度极高,其内容是一位网友发布了自己逆向工程 TikTok 的结果。
根据这位发帖作者的描述,他亲自操刀对 TikTok 进行了逆向工程,并自信地表示对应用程序的运行方式(或至少几个月前的运行方式)了如指掌。他表示,TikTok 是一个试图以社交网络之名掩盖其数据收集服务的应用,因为 TikTok 正在使用一个可以获取联系人或设备等信息的 API(小编内心 OS:这些信息大把应用程序在获取)。
手机硬件(CPU 类型、进程数、硬件 ID、屏幕尺寸、dpi、内存使用量、磁盘空间等);
已安装的其他应用程序(我甚至已经看到一些已经删除的应用程序出现在分析负载中 - 也许他们将这些作为缓存值?)
与网络相关的所有内容(ip、本地 ip、路由器 mac、wifi 接入点名称等);
是否 root/ 越狱;
该应用的某些 variant 在您对 IIRC 帖子进行位置标记时,默认情况下会大约每 30 秒启用一次 GPS pinging 功能;
TikTok 在设备上为“转码媒体”设置了本地代理服务器,但是,由于其零身份验证特征,使得该功能很容易被滥用。
据介绍,TikTok 正在执行的许多日志记录都是可远程配置的,除非对本机库中的每个库都进行逆向工程(有趣的是,如果可以跳过他们自定义的 OLLVM fork,就可以阅读所有程序集)并手动检查每个混淆的功能。为防止有人进行逆向工程或调试应用程序,他们有多种不同的保护措施。如果他们知道了你想弄清楚他们在做什么,应用程序的行为则会略有变化。也有一些在安卓版本上的代码允许下载远程 zip 文件,解压缩它,并执行所述二进制文件。
作者给出的其他机构所做的研究,结论与其类似:https://penetrum.com/research
最重要的是,他们甚至没有长时间使用 HTTPS。他们在 HTTP REST API 中泄漏了用户的电子邮件地址,以及用于重置密码的辅助电子邮件,这里面会有用户的真实姓名和生日。如果几个月前 MITM 攻击该应用程序就可以看到。
总而言之,他们不想让你知道他们收集了多少信息,但将这些数据集中在一个地方会存在巨大的安全隐患。他们用一种算法对所有分析请求进行加密,这种算法会随着每次更新而改变(至少密钥会改变),这样就看不到他们在做什么。如果在 DNS 级别上阻止与分析主机通信,你也无法使用该应用程序。
Reddit网友评论
为了证明自己做了这些工作,这篇帖子的作者多次在评论区更新并回复留言,并表示:
越来越多开发者让我写个文档或放出来一段代码(帖子上附的视频已经无法观看)证明其中大部分内容是真实的。在我另一台主板故障的电脑上留存着我写的很多笔记,大部分数据都在那台笔记本的 SSD 中。那是一台 Macbook Pro 笔记本,因此恢复数据并不那么容易。我有一些 frida 脚本,将它们推送到我的 git 服务器上,我还有一些 markdown 文件和一些与 exploit devs 开发者的对话日志,但没有其他内容了。为了向每个人提供他们所要求的证明,我可能要重新将应用程序逆向工程,但目前我真没时间做这件事。
我打算使用自己的内容构建一个简单的网站 / 博客,并在完成后使用链接更新此评论。感谢大家对这个问题的关注,也感谢对我提出的问题表示质疑的人。在当前这个虚假信息时代,我们需要在这种事情上有更多关注度。
二、字节跳动禁止中国内部员工访问海外代码库
作为出海的企业,字节跳动面对的不仅是来自硅谷科技公司们的竞争,更多的是政治风险,单就隐私问题已经被讨论过太多次了。
此前,已经有消息称:字节跳动禁止中国内部员工访问海外产品的代码库。 在中国工作、为国内市场开发应用和服务的员工基本被剥夺了访问字节跳动大批海外产品(包括但不止 TikTok)“敏感数据”的权限。
据悉,字节跳动的内部权限管理工作在 2019 年初便已开始。此前,虽然字节跳动的中外产品由各自团队独立运营,但两者共享着一些中间技术系统的团队。权限管理工作开始后,这些团队也进行了分割:中国团队负责中国产品,海外团队负责海外产品。围绕后者的技术“防火墙”建立了起来,中国团队不再拥有对海外产品数据和代码的权限。
据路透社消息,近几个月来,字节跳动正在将所有海外业务的全球决策和研发等权力核心移出中国。字节跳动已经扩大了 TikTok 在加州山景城的工程和研发业务,而此前北京团队管理的与泛大西洋投资集团、KKR 等在内的主要投资者关系也交给了新聘请的驻纽约投资者关系主管 Michelle Huang。
今年 3 月,字节跳动创始人张一鸣发布全员信宣布组织架构全面升级。这次组织架构调整重点在于分别明确了字节跳动国内外业务的管理团队。
国内方面,张利东和张楠分别为字节跳动中国董事长和 CEO,整体负责字节跳动中国业务的发展。
海外方面,则由张一鸣亲自负责,字节跳动产品与战略副总裁朱骏与其配合。同时,字节跳动全球管理团队也慢慢建成,成员们各个“出身不凡”:
字节跳动首席运营官(COO)兼 TikTok 全球首席执行官凯文·梅耶尔(Kevin Mayer)是迪士尼前流媒体服务负责人,被称为迪士尼帝国的“总统候选人”;TikTok 全球总法律顾问 Erich Andersen 此前是前微软首席知识产权顾问;TikTok 首席信息安全官 Roland Cloutier 是曾为美国空军和国防部工作的知名网络安全专家;字节跳动欧洲政府关系与公共政策总监 Theo Bertram 为前谷歌资深员工;字节跳动全球商业解决方案副总裁 Blake Chandlee 为原 Facebook 负责全球商业合作事务负责人…
部分入职字节跳动高管名单,来源:脉脉
至此,字节跳动海外业务的技术剥离和管理团队组建的主要工作基本完成。
三、被迫“去中国化”的出海企业
张一鸣曾表示,中国的互联网人口只占全球互联网人口的五分之一,如果不在全球配置资源、追求规模化效应的产品,五分之一无法跟五分之四竞争,所以出海是必然的。
2015 年,字节跳动正式开始全球化部署,第一次启动了全球化团队,有了外籍员工。经过近 5 年的摸索和发展,字节跳动海外业务也交出了不错的成绩单。
截至 2019 年底,字节跳动在全球共有 240 个办公室和 15 个研发中心,旗下产品月活用户数超过 15 亿,业务覆盖 150 个国家和地区共 75 个语种。
尤其今年 5 月,抖音及海外版 TikTok 在全球 App Store 和 Google Play 吸金超 9570 万美元,蝉联全球移动应用收入榜冠军。之前大家并不特别关注的 TikTok 也在国内火了起来。
2016 年,字节跳动投资了印度新闻应用 Dailyhunt,试图复制今日头条的成功但并未掀起大的水花。同年,字节跳动受短视频应用 Musical.ly 启发推出了抖音,次年推出了 TikTok。
2017 年底,字节跳动以 8 亿美元收购 Musical.ly,并将 Musical.ly 合并到了 TikTok,TikTok 赢得了 Musical.ly 在美国和欧洲的每月 6000 多万活跃用户。通过内容运营和精准投放,TikTok 获得了更多的用户,连续两年位于全球热门移动应用(非游戏)全年下载量榜单前五名。
但树大招风,以海外最受欢迎的产品 TikTok 为例,去年 2 月,TikTok 向美国联邦贸易委员会(FTC)支付了 570 万美元的罚款,理由是其违反了儿童在线隐私保护法案(COPPA),在未经过父母同意的情况下,违规收集 13 岁以下用户的姓名、电子邮件以及其他个人信息。
另外,TikTok 因下架了一位美国青少年批评中国对待穆斯林言论的视频而被质疑其数据处理方式以及中国政府是否拥有访问权。美国参议院也举行了听证会重点讨论 TikTok 对美国国家安全和公民隐私的重大风险。
由于担心 TikTok 存在国家安全风险,美国海军、陆军部队、美军陆战队、美国海岸防卫队及空军在今年 1 月全面禁用 TikTok。2 月份,美国运输安全管理局工作人员利用 TikTok 制作并上传视频,解释该局的登机流程和规定,随后官方要求员工停止使用 TikTok。此外,众议院民主党人正大力支持美国联邦贸易委员会(FTC)最近对 TikTok 进行调查的呼吁。
类似的情况也出现在了印度。
印度是字节跳动在海外最大的市场之一。字节跳动在印度的营收已达到 4.37 亿卢比(人民币 4342 万元),利润 3400 万卢比(人民币 338 万元),旗下产品 TikTok、Helo 和 Vigo Video 在印度拥有超过 2.5 亿用户。
但之前,TikTok 平台因出现色情、虐待儿童和歧视妇女等内容而备受争议。去年,TikTok 因其色情内容在印度被封禁,随后 TikTok 被 App Store 和谷歌应用商店下架了 8 天。今年 3 月初,TikTok 再次因“硫酸攻击”视频受到抵制。
最近一款声称可移除用户手机里中国 Apps 的应用 Remove China Apps 风靡一时,短短两周下载量已超过 100 万人次,成为印度区 Google Play 中最热门的应用。这反映出了印度反华情绪的高涨。
据悉,最近两个月,由于 Covid-19 大流行导致市场营销和广告预算减少,以及反华情绪持续高涨,TikTok 在印度的下载人数已经减少。
为迎合当地监管,TikTok 在去年引入了第三方机构为平台内容管理政策提供咨询服务和建议。据字节跳动员工透露,目前 TikTok 的具体内容审核原则,会根据审核对象所在地的法律、法规、文化和习俗不同,而采用不同的审核尺度。
今年疫情期间,TikTok 在国内的海外内容审核团队解散,100 多人被迫转岗。TikTok 方面表示:“我们尊重不同文化和法律背景下对于内容健康的要求,一直把相关的内容运营管理工作交给熟悉当地文化和法律的本土团队负责。”
除了审核规则更加本地化,TikTok 也开始在审核透明度上下功夫。今年 3 月,TikTok 宣布计划在加利福尼亚州洛杉矶建立一个实体透明度中心,该中心将向公众开放,包括外部专家和新闻界人士,现场演示审核人员审核和标记有可能违反 TikTok 政策的内容。
据悉,目前 TikTok 的内容审核主要包括机器预审和人工后续审核。以直播为例,机器会对直播视频进行图片抽帧分析,如果是纯图片、垃圾信息等低级质量问题,机器会打上“不推荐”标签进行限流。但如果经高级分析得出是儿童色情、恐怖主义等严重违法内容则会被直接下架。
机器也会将高风险内容发给审核员对结果进行二次分析。审核员查看机器提交的截图或直接查看实时视频内容,打上各种标签。除了最初的“推荐”和“不推荐”标签外,现在 TikTok 还加上了“儿童色情”、“裸露”、“性”、“仇恨言论”、“宣扬暴力”、“宣扬恐怖”等新标签,不同标签对应不同的处理结果。此前机器自动处理的视频如果热度达到特定阈值,也会召回人工复查处理结果是否合适。
字节跳动出海后的水土不服症状已经非常明显,“去中国化”成了其解决当前困境的一剂药。但药效如何还要看海外监管部门买不买账。
参考链接:
https://www.infoq.cn/article/57hsydeBrqb3Vb8C3A0s
https://www.reddit.com/r/videos/comments/fxgi06/not_new_news_but_tbh_if_you_have_tiktiok_just_get/fmuko1m/
本文来自微信公众号:AI前线(ID:ai-front),作者:褚杏娟、冬梅