抖音與TikTok的安全性和隱私分析 - citizenlab

banq發表於2021-03-25

從我們在TikTok和抖音之間發現的異同來看,位元組跳動的策略似乎是擁有一個通用的程式碼庫,然後對其進行自定義以適應不同的市場需求。從經濟角度看,這種策略是有意義的。TikTok的兩種變體的區別(一種是針對東亞和東南亞,另一種是針對世界其他地區的)表明,位元組跳動重用了這一策略,進一步劃分了不同地區的需求。Trill(針對東亞和東南亞)與Musically(針對其他地方)的區別也進一步表明位元組跳動對東亞和東南亞的重視。
在整個研究過程中,我們觀察到了該策略的使用。我們發現的這些示例還顯示了應用於通用程式碼庫的各種定製級別。諸如選擇不同的日誌伺服器之類的定製是透過通用程式碼庫中的內部配置值實現的。某些自定義由伺服器返回的值決定,例如“ Share to Facebook Story(共享到Facebook Story)”功能。可能會引起審查的功能模組已被完全刪除,例如,動態程式碼載入支援模組僅在都印中存在,而在TikTok中不存在。另一類自定義項可以完全在伺服器端實現,例如搜尋檢查。即使TikTok和抖音中的搜尋檢查模組預定義了可以應用的同一組限制,
從我們發現的案例來看,這些定製似乎被適當地應用了。在TikTok中,自定義通用程式碼庫的最終結果似乎是建立了一種基本上遵循國際行業規範的產品,因為我們沒有發現像抖音那樣的任何不良功能,也沒有發現隱私,安全性和檢查做法的與TikTok的競爭對手例如Facebook明顯差異。
但是,TikTok也並非完全沒有隱私,安全和審查方面的問題。。如我們所示,ByteDance依賴於通用程式碼庫的這些不同程度的自定義,以適應不同的市場需求。無論有意還是無意,這些定製都可能以不同的難度恢復。另一方面,我們已經證明TikTok確實包含一些最初為抖音編寫的休眠程式碼,並且TikTok的伺服器返回的配置值確實指示了它的某些行為。我們擔心TikTok的伺服器返回的配置值可能會啟用那些為抖音編寫的休眠程式碼。
 

流量攔截和分析工具設定
我們的流量攔截和分析設定包括以下元件:

  • 植根於Magisk的系統
  • 使用的Magisk模組:
    • giacomoferretti的叉子始終信任使用者證書v0.4
    • 馬吉斯克·弗裡達(MagiskFrida)12.8.17-1
    • Riru –核心v19.7
    • Riru – EdXposed v0.4.5.1_beta(4463)(YAHFA)
  • 使用的EdXposed模組:
    • TrustMeAlready(com.virb3.trustmealready)1.11
    • XPrivacyLua(eu.faircode.xlua)1.27
  • 在測試電話上安裝了攔截伺服器的SSL根CA
  • 測試電話與攔截伺服器共享WiFi區域網,將測試電話配置為使用攔截伺服器作為系統範圍的代理
  • 攔截伺服器:Burp Suite社群版v2020.1

測試環境
  • Android 9(LineageOS 16)
  • 系統區域設定為繁體中文

 
開放技術基金透過資訊控制獎學金專案資助了這項研究。Mari Zhou的圖形設計。特別感謝Jeffrey Knockel,Miles Kenyon,Nishihata Masashi,Lotus Ruan和Adam Senft。該專案由市民實驗室主任Ron Deibert監督。
 
更詳細的測試細節點選標題進入。

相關文章