抖音與TikTok的安全性和隱私分析 - citizenlab
從我們在TikTok和抖音之間發現的異同來看,位元組跳動的策略似乎是擁有一個通用的程式碼庫,然後對其進行自定義以適應不同的市場需求。從經濟角度看,這種策略是有意義的。TikTok的兩種變體的區別(一種是針對東亞和東南亞,另一種是針對世界其他地區的)表明,位元組跳動重用了這一策略,進一步劃分了不同地區的需求。Trill(針對東亞和東南亞)與Musically(針對其他地方)的區別也進一步表明位元組跳動對東亞和東南亞的重視。
在整個研究過程中,我們觀察到了該策略的使用。我們發現的這些示例還顯示了應用於通用程式碼庫的各種定製級別。諸如選擇不同的日誌伺服器之類的定製是透過通用程式碼庫中的內部配置值實現的。某些自定義由伺服器返回的值決定,例如“ Share to Facebook Story(共享到Facebook Story)”功能。可能會引起審查的功能模組已被完全刪除,例如,動態程式碼載入支援模組僅在都印中存在,而在TikTok中不存在。另一類自定義項可以完全在伺服器端實現,例如搜尋檢查。即使TikTok和抖音中的搜尋檢查模組預定義了可以應用的同一組限制,
從我們發現的案例來看,這些定製似乎被適當地應用了。在TikTok中,自定義通用程式碼庫的最終結果似乎是建立了一種基本上遵循國際行業規範的產品,因為我們沒有發現像抖音那樣的任何不良功能,也沒有發現隱私,安全性和檢查做法的與TikTok的競爭對手例如Facebook明顯差異。
但是,TikTok也並非完全沒有隱私,安全和審查方面的問題。。如我們所示,ByteDance依賴於通用程式碼庫的這些不同程度的自定義,以適應不同的市場需求。無論有意還是無意,這些定製都可能以不同的難度恢復。另一方面,我們已經證明TikTok確實包含一些最初為抖音編寫的休眠程式碼,並且TikTok的伺服器返回的配置值確實指示了它的某些行為。我們擔心TikTok的伺服器返回的配置值可能會啟用那些為抖音編寫的休眠程式碼。
流量攔截和分析工具設定
我們的流量攔截和分析設定包括以下元件:
- 植根於Magisk的系統
- 使用的Magisk模組:
- giacomoferretti的叉子始終信任使用者證書v0.4
- 馬吉斯克·弗裡達(MagiskFrida)12.8.17-1
- Riru –核心v19.7
- Riru – EdXposed v0.4.5.1_beta(4463)(YAHFA)
- 使用的EdXposed模組:
- TrustMeAlready(com.virb3.trustmealready)1.11
- XPrivacyLua(eu.faircode.xlua)1.27
- 在測試電話上安裝了攔截伺服器的SSL根CA
- 測試電話與攔截伺服器共享WiFi區域網,將測試電話配置為使用攔截伺服器作為系統範圍的代理
- 攔截伺服器:Burp Suite社群版v2020.1
測試環境
- Android 9(LineageOS 16)
- 系統區域設定為繁體中文
開放技術基金透過資訊控制獎學金專案資助了這項研究。Mari Zhou的圖形設計。特別感謝Jeffrey Knockel,Miles Kenyon,Nishihata Masashi,Lotus Ruan和Adam Senft。該專案由市民實驗室主任Ron Deibert監督。
更詳細的測試細節點選標題進入。
相關文章
- NextDNS 與 Firefox 合作幫助增強使用者隱私和安全性DNSFirefox
- 大模型隱私洩露攻擊技巧分析與復現大模型
- 隱私計算:保護資料隱私的利器
- 隱私計算在智慧城市建設中的應用:平衡公共安全與個人隱私
- Posterous:社交網路與隱私研究
- 無線安全隱患分析:使用者位置隱私曝光
- AppFigures:受TikTok增長和隱私問題影響 Facebook應用下載量下降30%APP
- 隱私政策
- 區塊鏈資料隱私保護分析區塊鏈
- 機器學習與隱私保護,究竟路在何方?機器學習
- 大資料安全與隱私保護大資料
- 最近,我和隱私計算幹上了。
- iOS 隱私清單和SDK簽名iOS
- Camera 360應用隱私資料洩露的分析
- 兒童隱私政策
- 無人駕駛技術與個人隱私的終結
- 常見的安全模型、攻擊模型和隱私需求模型
- 恆訊科技分析:什麼是tiktok vps和tiktok專線?
- 資料安全與個人隱私:美國人的焦慮與變化
- 機器學習中的隱私保護機器學習
- 本應用的隱私政策
- 隱私計算助力資料的安全流通與共享
- 隱私與知情:孩子的遊戲世界,家長該知道多少?遊戲
- 微信隱私安全設定教程 如何設定微信隱私安全?
- 銘說 | 淺論資料安全中的隱私計算方法之差分隱私
- 隱私AI框架中的資料流動與工程實現AI框架
- 聯邦學習中的差分隱私與同態加密聯邦學習加密
- 網路時代的隱私之殤
- 大資料賣的就是隱私!大資料
- 隱私失控的網際網路
- 關注網路隱私但九成網民不知如何捍衛自己的隱私
- 企業隱私策略脫節:無法有效保護隱私——資訊圖
- YouGov:YouTube和TikTok使用者行為分析Go
- 隱私計算FATE-核心概念與單機部署
- Mssql和Mysql的相關安全性分析(轉)MySql
- 人工智慧:大型語言模型的安全和隱私挑戰人工智慧模型
- Little Snitch 5 for Mac:保護你的隱私和網路安全!Mac
- 買賣隱私資料——大資料不同的弊和利大資料