荷蘭國安局警告中國可利用TikTok 對荷蘭實施網路攻擊
'TikTok kan bij alle gegevens in je telefoon', klopt dat wel?#
“TikTok可以訪問您手機中的所有數據"是這樣嗎?#
雖然TikTok從用戶那裡收集了大量訊息,但沒有跡象表明該APP在這方面比其他社群媒體走得更遠,甚至監視用戶(但無法排除用戶數據被中國政府取得的風險)。這是NOS Stories與安全研究人員合作進行的研究結果。
例如,VVD議員奎妮-拉傑科夫斯基(Queeny Rajkowski)就提出了這樣的建議:「意識到他們可以查看你的整個手機,看到所有東西。」她對《每日電訊報》說:「如果意識到他們可以查看你的整個手機並看到一切,那就會變得很可怕。人們擔心這些訊息會被中國政府利用。」
AIVD(荷蘭國家安全局)還建議:該服務在一份關於TikTok的備忘錄中寫道:「手機APP通常可以訪問所有手機數據。」據AIVD稱,其母公司ByteDance所在的中國對荷蘭實施了 “進攻性網路計劃"。Tiktok讓您煩惱嗎?#
為什麼還在擔心TIkTok?#
然而,該 APP 可以收集所有數據的說法並不正確。但這並不意味著使用該 APP 沒有風險。政府國家網路安全中心的安全研究員 Sanne Maasakkers說:「我們無法看到TikTok如何處理收集到的所有數據。」TikTok收集的數據#
由於Android和iOS的安全措施,APP 無法訪問其他 APP 的數據。對Android版 APP 的分析顯示,TikTok沒有試圖繞過 "沙盒 "這一封閉環境。
只有當用戶允許並希望上傳照片時,照片才會被收集。其他文件則保持原樣。
該 APP 在其他方面也沒有異常行為。例如,它僅在用戶使用 APP 時收集其位置。此外,它關注的是原始位置,而不是確切位置。
在上傳某人的通訊錄時--當用戶想知道哪些朋友也在TikTok上時--數據的發送方式是,TikTok不會看到電話號碼和電子郵件地址,除非用戶的聯繫人確實在TikTok上。更細緻入微#
在一份回應中,AIVD的回應比之前的備忘錄更加細緻入微。該情報機構表示:「APP 通常可以訪問用戶在安裝或配置時允許訪問的所有手機數據。」除了例外情況,如果用戶沒有給予 APP 權限,這些數據將被操作系統屏蔽。(但通常用戶不給 APP 權限,APP 就可能不給用戶使用某些功能。)
儘管如此,情報機構強調仍存在擔憂。情報機構沒有提到TikTok的名字,但認為 APP 經常從設備中 "不成比例地請求數據"。「這使得開發者能夠映射出用戶的敏感或非敏感訊息,而許多用戶對此並不知情。」
議員Rajkowski透露:「作為預防措施,VVD已經停止使用TikTok。AIVD警告了這款中國 APP 可能存在的危險,我認為沒有理由無視這一警告。」Instagram與中國#
早在2020年,NOS Stories就與研究員Maasakkers一起對TikTok進行了調查。當時,TikTok要求提供更多敏感信息,如手機序列號和wifi網路名稱。現在不會出現這種情況。
專門分析Android應用的安全公司Threatfabric的研究員達里奧-杜蘭多(Dario Durando)說:「總體來說,該 APP 應用收集的信息並不比其他 APP 應用多多少,就我看來,數據收集符合常規。」
但Maasakkers表示,大量數據仍在被收集。「他們收集所有數據的頻率並沒有改變。每分鐘都有數次信息從您的手機傳送到TikTok的服務器上。」
Maasakers表示,這與其在美國的競爭對手Instagram相當類似。產生巨大數據流的一個主要原因是廣告。這兩款應用都可以通過這種方式向您展示個性化廣告。此外,它們還可以根據你的興趣向你展示影片。
一個令人擔憂的問題是,來自用戶的所有數據最終都會流向中國。這一點很難排除。NOS對TikTok三個小時的流量進行了分析,發現該 APP 應用連接的服務器位於荷蘭、瑞典、德國、美國和新加坡,而不在中國。
然而,儘管沒有具體跡象表明這種情況正在發生,但技術上並不妨礙將數據從另一地點立即傳回中國。TikTok在回覆中沒有回答任何具體問題,但提到了一個關於如何收集數據的頁面。 TikTok承諾,它將很快被翻譯成荷蘭語。在本篇報導中,NOS Stories 透過攔截和解密TikTok安卓 APP 應用的流量,對其進行了調查。兩名研究人員,NCSC的Sanne Maasakkers和Threatfabric的Dario Durando也對該 APP 進行了調查,例如也分析了流量或仔細檢查了 APP 本身的原始代碼。由於在iOS系統上無法進行這種深層次的分析,因此沒有對iPhone 的 APP 進行調查。
原文:https://nos.nl/l/2482829