信息化觀察網(wǎng)

剛剛過去的這個(gè)周末，TikTok以及微信海外版（Wechat）的命運(yùn)可謂跌宕起伏、峰回路轉(zhuǎn)。

美國(guó)總統(tǒng)特朗普此前以國(guó)家安全為由下禁令，從上周日9月20日起，針對(duì)微信和TikTok的禁令將生效，但在上周六，他又表態(tài)贊成TikTok與美國(guó)公司甲骨文和沃爾瑪?shù)暮献鞣桨浮?/p>

Wechat方面，除了華人微信用戶聯(lián)盟在加州法院初戰(zhàn)告捷外，騰訊公司也祭出騷操作，趕在特朗普禁令之前把微信蘋果應(yīng)用商店的WechatWork企業(yè)微信改了個(gè)名字，變成Wecom。不過騰訊這波抖機(jī)靈操作安全牛是看不懂的，因?yàn)楦鶕?jù)美國(guó)商務(wù)部的新聞稿，“托管或轉(zhuǎn)移與Wechat相關(guān)的互聯(lián)網(wǎng)流量將是非法的”。

言歸正傳，我們需要重新審視導(dǎo)致這一系列新聞鬧劇的本質(zhì)問題：TikTok和Wechat到底有沒有危害美國(guó)國(guó)家安全和公民隱私？

特朗普于8月6日發(fā)布禁止令的理由只有一個(gè)：基于中國(guó)的應(yīng)用程序存在“國(guó)家安全問題”。而商務(wù)部長(zhǎng)威爾伯·羅斯（Wilbur Ross）在新聞稿中還補(bǔ)充了一條“隱私侵犯”，因?yàn)檫@些應(yīng)用程序允許“中國(guó)惡意收集美國(guó)公民的個(gè)人數(shù)據(jù)。”

這個(gè)問題，從技術(shù)層面來說，只有網(wǎng)絡(luò)安全和隱私保護(hù)的專業(yè)人士才最有發(fā)言權(quán)。

近日，Threatpost搞了個(gè)美國(guó)網(wǎng)絡(luò)安全專家研討會(huì)，邀請(qǐng)了多位大咖發(fā)聲，是目前為止從技術(shù)層面對(duì)TikTok和Wechat相關(guān)的安全和隱私話題最為專業(yè)的探討。

隱私數(shù)據(jù)收集是一個(gè)行業(yè)共性問題

對(duì)于TikTok和微信的禁令，一部分美國(guó)安全和隱私專家認(rèn)為，此舉對(duì)消費(fèi)者是一個(gè)福音，并指出，與許多社交媒體應(yīng)用程序一樣，這些應(yīng)用程序被過度使用。例如，TikTok（根據(jù)其隱私權(quán)政策）確實(shí)會(huì)收集電話和社交網(wǎng)絡(luò)聯(lián)系人、GPS位置、個(gè)人信息（例如年齡）以及任何用戶生成的內(nèi)容（例如照片和視頻），它也可以存儲(chǔ)付款信息。

Gurucul首席執(zhí)行官Saryu Nayyar通過電子郵件表示：“在公眾需求、國(guó)家安全和有效的網(wǎng)絡(luò)安全之間取得平衡很有挑戰(zhàn)性。”“社交媒體應(yīng)用程序是公眾演講和影響力的重要平臺(tái)，但是我們已經(jīng)看到無數(shù)事件可以將這些平臺(tái)濫用于任何目的……基于人工智能和大數(shù)據(jù)的分析甚至可以看似普通的信息產(chǎn)生巨大價(jià)值和效用。”

Point3 Security戰(zhàn)略副總裁ChloéMessdaghi同意，由于是擁有龐大用戶群體的社交媒體渠道，TikTok和WeChat值得關(guān)注。但他指出，政府禁令（而不是讓用戶個(gè)人決定自己的數(shù)據(jù)去向）有其自身的問題。

她表示：“我們從本質(zhì)上接受了允許（社交媒體）出于其目的收集我們的數(shù)據(jù)，而沒有披露如何使用這些數(shù)據(jù)，”“如今，主流的社交媒體公司對(duì)我們的了解比我們自己知道的要多得多，就消費(fèi)者權(quán)益和透明度而言，所有這些社交媒體平臺(tái)的行為都有點(diǎn)像是自治政府。”

但是，她補(bǔ)充說：“截至目前，尚無公開證據(jù)表明中國(guó)已經(jīng)獲得或使用了這些數(shù)據(jù)。這只是假設(shè)，從第一次修正案的角度來看這是不幸的結(jié)果。2020年，TikTok是占主導(dǎo)地位的平臺(tái)之一，該平臺(tái)已幫助志趣相投的人們共享信息和計(jì)劃，并團(tuán)結(jié)在一起。就像Twitter在‘阿拉伯之春’期間所做的一樣，TikTok在這個(gè)夏天催化了很多進(jìn)步運(yùn)動(dòng)，禁止TikTok是一種反動(dòng)。”

沒有數(shù)據(jù)濫用的確鑿證據(jù)

Comparitech的隱私倡導(dǎo)者Paul Bischoff指出：盡管許多人認(rèn)為TikTok將個(gè)人和使用信息發(fā)送回中國(guó)政府，但尚無具體證據(jù)表明這種影響已存在于該應(yīng)用程序的現(xiàn)有技術(shù)中。

實(shí)際上，Comparitech對(duì)TikTok的隱私和安全問題進(jìn)行了詳細(xì)評(píng)估，沒有發(fā)現(xiàn)TikTok正在收集用戶數(shù)據(jù)并將其發(fā)送到中國(guó)的證據(jù)。

“沒有顯示出TikTok可以收集比其他社交媒體應(yīng)用程序更多的數(shù)據(jù)，”Paul Bischoff指出：“這在美國(guó)開創(chuàng)了審查制度的危險(xiǎn)先例。我們正在禁止中文應(yīng)用程序，但采用了中國(guó)審查制度，后者更令人擔(dān)憂。”

Pixel Privacy的消費(fèi)者隱私專家Chris Hauk表示完全同意Paul Bischoff的看法，他指出：“考慮到?jīng)]有真正的威脅被證明，這（禁令）有點(diǎn)反應(yīng)過度。”“這項(xiàng)禁令的審查制度使我感到困惑。當(dāng)然，如果需要，可以禁止在政府和某些行業(yè)中使用這些應(yīng)用程序。但是，頒布中國(guó)式的禁令是美國(guó)應(yīng)該做的嗎？”

他補(bǔ)充說：“在頒布任何禁令之前，需要進(jìn)一步調(diào)查?；谖唇?jīng)證實(shí)的懷疑就去封殺應(yīng)用程序顯然屬于一種審查制度。”

為了解除禁令，可能需要進(jìn)行幾輪深入的技術(shù)審計(jì)。Netenrich的CISO布蘭登·霍夫曼（Brandon Hoffman）表示，技術(shù)審計(jì)包括但不限于代碼庫(kù)審查和流量分析，他補(bǔ)充說，他希望看到公開透明的技術(shù)審查信息。

Hoffman指出：“政府這樣做有其理由。”“但另一方面，禁止特定應(yīng)用程序不但侵犯?jìng)€(gè)人權(quán)利，甚至也會(huì)侵犯我們的隱私，盡管這個(gè)禁令的理由是保護(hù)隱私。在當(dāng)今這個(gè)時(shí)代，消費(fèi)者非常精通技術(shù)，并且了解情況。如果政府希望證明禁令的正當(dāng)性，那么，他們應(yīng)該公開一些技術(shù)細(xì)節(jié)或調(diào)查結(jié)果。”

禁令引發(fā)新的安全問題

Lookout安全解決方案高級(jí)經(jīng)理Hank Schless指出，需要關(guān)注由于禁令本身而可能引起的安全問題。具體來說，由于TikTok和Wechat（在美國(guó)市場(chǎng)）被封殺，因此不會(huì)發(fā)布補(bǔ)丁或更新。對(duì)于希望利用該應(yīng)用程序的犯罪分子來說，這可能是一個(gè)“黃金時(shí)期”。

“這是有風(fēng)險(xiǎn)的，因?yàn)槿绻腥嗽谌魏我粋€(gè)應(yīng)用程序中發(fā)現(xiàn)漏洞，將無法發(fā)布修復(fù)程序，并且用戶將繼續(xù)承受風(fēng)險(xiǎn)，”Schless告訴Threatpost。

另外，由于禁令，那些想要使用Wechat或TikTok的人可能會(huì)轉(zhuǎn)向盜版版本，這將產(chǎn)生一個(gè)巨大的威脅。

他說：“攻擊者可能會(huì)開始通過各種渠道（例如其他社交媒體平臺(tái)）分發(fā)該應(yīng)用程序的惡意版本。”“他們可以確定屬于TikTok和微信用戶主要人群的目標(biāo)，并向他們發(fā)送社交工程消息以及指向惡意應(yīng)用程序的鏈接。”

這已經(jīng)發(fā)生了：印度禁止該應(yīng)用程序時(shí)，網(wǎng)絡(luò)犯罪分子在禁令頒布一周內(nèi)通過社交媒體，短信和消息平臺(tái)發(fā)布了名為“TikTokPro”的東西。

Schless說：“一旦禁令生效，印度的TikTok Pro冒牌應(yīng)用程序背后的攻擊者便能夠在很短的時(shí)間內(nèi)開發(fā)和分發(fā)該應(yīng)用程序。”“同樣地，網(wǎng)絡(luò)犯罪分子也能利用美國(guó)的類似情況并從公眾對(duì)應(yīng)用程序的需求或竊取個(gè)人數(shù)據(jù)中獲利。每個(gè)人都應(yīng)該對(duì)將來嘗試針對(duì)移動(dòng)設(shè)備分發(fā)這兩個(gè)應(yīng)用程序的偽造版本保持高度警惕。”