В начале этого месяца президент Трамп объявил, что США «закроют» TikTok 15 сентября, если он не будет приобретен. Вопросы конфиденциальности и безопасности данных всегда окружали приложение, а новый отчет выявляет конкретную лазейку, которую TikTok использовал на Android для сбора MAC-адресов.
The Wall Street Journal сегодня подробно рассказал, как TikTok для Android «собирал MAC-адреса в течение как минимум 15 месяцев, до обновления, выпущенного 18 ноября прошлого года».
В 2015 году Google запретил приложениям Android, распространяемым через Play Store, «подключать» «лично идентифицируемую информацию или ассоциировать ее с каким-либо постоянным идентификатором устройства», включая MAC-адреса и IMEI.
Однако TikTok использовал обходной путь, который WSJ описывает как «извилистый». Этот идентификатор, рекламный идентификатор устройства и другие данные отправляются ByteDance при первом открытии приложения — до того, как пользователи смогут предоставить какое-либо согласие. Хотя рекламный идентификатор можно сбросить, нет никакой реальной выгоды, если новые идентификаторы могут быть связаны с существующим MAC-адресом.
MAC-адрес полезен для приложений, ориентированных на рекламу, поскольку его нельзя сбросить или изменить, что позволяет разработчикам приложений и сторонним аналитическим фирмам создавать профили поведения потребителей, которые сохраняются при любых мерах конфиденциальности, кроме получения нового телефона владельцем.
Тем временем TikTok также использует «необычный дополнительный уровень шифрования» для сокрытия собранных данных. Исследователи, цитируемые в сегодняшней статье, говорят, что реальной пользы для безопасности нет. Скорее, эта практика затрудняет для третьих сторон проверку того, какая информация передается и следует ли приложение социальных сетей своей заявленной политике конфиденциальности.
Компания заявила, что «текущая версия TikTok не собирает MAC-адреса», но в остальном воздержалась от комментариев о своей прошлой практике. Тем временем Google заявил, что изучает сегодняшний отчет.