刚刚过去的这个周末,TikTok以及微信海外版(Wechat)的命运可谓跌宕起伏、峰回路转。
美国总统特朗普此前以国家安全为由下禁令,从上周日9月20日起,针对微信和TikTok的禁令将生效,但在上周六,他又表态赞成TikTok与美国公司甲骨文和沃尔玛的合作方案。
Wechat方面,除了华人微信用户联盟在加州法院初战告捷外,腾讯公司也祭出骚操作,赶在特朗普禁令之前把微信苹果应用商店的WechatWork企业微信改了个名字,变成Wecom。不过腾讯这波抖机灵操作安全牛是看不懂的,因为根据美国商务部的新闻稿,“托管或转移与Wechat相关的互联网流量将是非法的” 。
言归正传,我们需要重新审视导致这一系列新闻闹剧的本质问题:TikTok和Wechat到底有没有危害美国国家安全和公民隐私?
特朗普于8月6日发布禁止令的理由只有一个:基于中国的应用程序存在“国家安全问题”。而商务部长威尔伯·罗斯(Wilbur Ross)在新闻稿中还补充了一条“隐私侵犯”,因为这些应用程序允许“中国恶意收集美国公民的个人数据。”
这个问题,从技术层面来说,只有网络安全和隐私保护的专业人士才最有发言权。
近日,Threatpost搞了个美国网络安全专家研讨会,邀请了多位大咖发声,是目前为止从技术层面对TikTok和Wechat相关的安全和隐私话题最为专业的探讨。
隐私数据收集是一个行业共性问题
对于TikTok和微信的禁令,一部分美国安全和隐私专家认为,此举对消费者是一个福音,并指出,与许多社交媒体应用程序一样,这些应用程序被过度使用。例如,TikTok(根据其隐私权政策)确实会收集电话和社交网络联系人、GPS位置、个人信息(例如年龄)以及任何用户生成的内容(例如照片和视频),它也可以存储付款信息。
Gurucul首席执行官Saryu Nayyar通过电子邮件表示:“在公众需求、国家安全和有效的网络安全之间取得平衡很有挑战性。”“社交媒体应用程序是公众演讲和影响力的重要平台,但是我们已经看到无数事件可以将这些平台滥用于任何目的……基于人工智能和大数据的分析甚至可以看似普通的信息产生巨大价值和效用。”
Point3 Security战略副总裁ChloéMessdaghi同意,由于是拥有庞大用户群体的社交媒体渠道,TikTok和WeChat值得关注。但他指出,政府禁令(而不是让用户个人决定自己的数据去向)有其自身的问题。
她表示:“我们从本质上接受了允许(社交媒体)出于其目的收集我们的数据,而没有披露如何使用这些数据,”“如今,主流的社交媒体公司对我们的了解比我们自己知道的要多得多,就消费者权益和透明度而言,所有这些社交媒体平台的行为都有点像是自治政府。”
但是,她补充说:“截至目前,尚无公开证据表明中国已经获得或使用了这些数据。这只是假设,从第一次修正案的角度来看这是不幸的结果。2020年,TikTok是占主导地位的平台之一,该平台已帮助志趣相投的人们共享信息和计划,并团结在一起。就像Twitter在‘阿拉伯之春’期间所做的一样,TikTok在这个夏天催化了很多进步运动,禁止TikTok是一种反动。”
没有数据滥用的确凿证据
Comparitech的隐私倡导者Paul Bischoff指出:尽管许多人认为TikTok将个人和使用信息发送回中国政府,但尚无具体证据表明这种影响已存在于该应用程序的现有技术中。
实际上,Comparitech 对TikTok的隐私和安全问题进行了详细评估,没有发现TikTok正在收集用户数据并将其发送到中国的证据。
“没有显示出TikTok可以收集比其他社交媒体应用程序更多的数据,”Paul Bischoff指出:“这在美国开创了审查制度的危险先例。我们正在禁止中文应用程序,但采用了中国审查制度,后者更令人担忧。”
Pixel Privacy的消费者隐私专家Chris Hauk表示完全同意Paul Bischoff的看法,他指出:“考虑到没有真正的威胁被证明,这(禁令)有点反应过度。”“这项禁令的审查制度使我感到困惑。当然,如果需要,可以禁止在政府和某些行业中使用这些应用程序。但是,颁布中国式的禁令是美国应该做的吗?”
他补充说:“在颁布任何禁令之前,需要进一步调查。基于未经证实的怀疑就去封杀应用程序显然属于一种审查制度。”
为了解除禁令,可能需要进行几轮深入的技术审计。Netenrich的CISO布兰登·霍夫曼(Brandon Hoffman)表示,技术审计包括但不限于代码库审查和流量分析,他补充说,他希望看到公开透明的技术审查信息。
Hoffman指出:“政府这样做有其理由。”“但另一方面,禁止特定应用程序不但侵犯个人权利,甚至也会侵犯我们的隐私,尽管这个禁令的理由是保护隐私。在当今这个时代,消费者非常精通技术,并且了解情况。如果政府希望证明禁令的正当性,那么,他们应该公开一些技术细节或调查结果。”
禁令引发新的安全问题
Lookout安全解决方案高级经理Hank Schless指出,需要关注由于禁令本身而可能引起的安全问题。具体来说,由于TikTok和Wechat(在美国市场)被封杀,因此不会发布补丁或更新。对于希望利用该应用程序的犯罪分子来说,这可能是一个“黄金时期”。
“这是有风险的,因为如果有人在任何一个应用程序中发现漏洞,将无法发布修复程序,并且用户将继续承受风险,”Schless告诉Threatpost。
另外,由于禁令,那些想要使用Wechat或TikTok的人可能会转向盗版版本,这将产生一个巨大的威胁。
他说:“攻击者可能会开始通过各种渠道(例如其他社交媒体平台)分发该应用程序的恶意版本。”“他们可以确定属于TikTok和微信用户主要人群的目标,并向他们发送社交工程消息以及指向恶意应用程序的链接。”
这已经发生了:印度禁止该应用程序时,网络犯罪分子在禁令颁布一周内通过社交媒体,短信和消息平台发布了名为“TikTokPro”的东西。
Schless说:“一旦禁令生效,印度的TikTok Pro冒牌应用程序背后的攻击者便能够在很短的时间内开发和分发该应用程序。”“同样地,网络犯罪分子也能利用美国的类似情况并从公众对应用程序的需求或窃取个人数据中获利。每个人都应该对将来尝试针对移动设备分发这两个应用程序的伪造版本保持高度警惕。”
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】