site logo: www.epochtimes.com

TikTok被爆有侧写程式 密码、信用卡全都露

图为抗议TikTok的印度民众。(NOAH SEELAM / AFP)
人气: 5525
【字号】    
   标签: tags: , , ,

【大纪元2022年08月21日讯】(大纪元记者吴旻洲报导)国外资安人员测试发现,社群平台软体“TikTok”竟然可以将程式码送到外部网站,且用户在键盘输入的所有内容,包括密码信用卡资料也都会外流。专家表示,当前中国科技巨头都已被要求交出算法,不排除这些软体最终可能变成监控国外使用者的管道。

根据国外资安研究员克劳斯(Felix Krause)所公布的测试结果,iOS版的TikTok(抖音的国际版本),会透过内建浏览器JavaScript程式码传送到外部网站,让TikTok可以看到用户与网站之间的互动,以及所有从键盘输入的内容。

萤幕上每次点击 都会被TikTok知悉

因此,除了用户输入或搜寻的资讯,密码信用卡卡号,以及萤幕上的每一次点击,都有可能被TikTok知悉。克劳斯表示,这有如在第三方网站上,安装了一个键盘记录器。

对此,TikTok官方承认确实有这项机制,但目的是用来移除Bug(漏洞)和监控效能,例如页面的载入速率或网页是否当掉,以保持最佳的使用者体验。

不仅如此,包括Instagram和脸书在内,其App内建的浏览器也有追踪用户活动的能力,包括了解用户点了哪些连结,方便以后更有效的投送广告和资讯内容,不过由于中共的影响力,外界仍对于TikTok及抖音的隐私保密较没信心。

成功大学电机系教授张顺志接受《大纪元时报》采访时表示,抓取使用者个资的技术并不困难,当下载手机App时,使用者同意开放权限、获取信用卡号等个资时,资讯就会流到厂商手上,只是有些无良软体,无论使用者回答是否愿意,它都会透过手机抓取使用者资讯。

法律健全国家 软体产品也较有保障

他表示,还要看软体开发商是位于哪个国家,若是法律较健全的国家,一般会对于智慧财产权与个人隐私较为保护,虽然不敢100%保证一定没有恶劣厂商,但开发的软体相对而言可信度高一些。

他说,但若一个国家,对个人隐私、智慧财产权本来就不重视,该国开发商做出一些不利于使用者的行为,“概率当然会高出很多”,他也奉劝,民众在下载软体前应该注意一下,软体背后到底是哪个国家开发的。

不过他也强调,实际情况可能更复杂,因为有些软体开发商可能注册在A国、但真正团队却在B国,甚至还会背着A国开发商做出很多事情。但既然民众已经知道,抖音的程式是留有后门的,因此该公司开发的软体应该都要小心。

另外,根据港媒报导,中共网信办日前已要求字节跳动、腾讯等企业提交平台算法,而目前抖音、微博、微信的算法也已经由中共掌握。但目前仍不清楚TikTok作为抖音的国际版,是否也会受到影响。

中国软体恐成中共监控国外管道

张顺志表示,并非掌握算法就能对使用者为所欲为,但企业都已经把算法交出去了,中共若想再要一点东西,企业大概也都很难拒绝,毕竟在共产党的体制下,政府、企业、市场其实是三者合而为一的,若最终这些软体变成监控国外使用者的管道,“这也是有可能的”。

“所以说免费的最贵,十个免费软体中,只要有一个出错,使用者就要付出很大代价”,张顺志强调,虽然每个人对隐私权的重视程度不同,但建议使用者还是尽量找其他替代软体来自保。

不仅如此,除了密码和信用卡可能会因为无良软体的后门外流,手机的摄影机镜头、录音功能,也可能在使用者不知道的情况下,透过远端开启。

张顺志坦言,远端开启摄影机镜头、录音等功能,其实技术并不难,有些无良软体会在程式中埋入一些“额外”功能,就可以对使用者进行远端监控,虽然不敢保证哪家公司100%不会这么做,但中国那边的公司信用度都比较低,相对而言风险会高一些。

手机很万能 也很不安全

张顺志强调,手机虽然很万能,但其实很不安全,越万能代表可以用软体控制做出更多事情,“当它越万能的时候,如果遇到不良的人,它就可以伤害越深”。◇

责任编辑:玉珍

评论