首頁 要聞 焦點

TikTok被爆有側寫程式 密碼、信用卡全都露

圖為抗議TikTok的印度民眾。(NOAH SEELAM / AFP)
圖為抗議TikTok的印度民眾。(NOAH SEELAM / AFP)

【記者吳旻洲/臺北報導】國外資安人員測試發現,社群平臺軟體「TikTok」竟然可以將程式碼送到外部網站,且用戶在鍵盤輸入的所有內容,包括密碼與信用卡資料也都會外流。專家表示,當前中國科技巨頭都已被要求交出演算法,不排除這些軟體最終可能變成監控國外使用者的管道。

根據國外資安研究員克勞斯(Felix Krause)所公布的測試結果,iOS版的TikTok(抖音的國際版本),會透過內建瀏覽器JavaScript程式碼傳送到外部網站,讓TikTok可以看到用戶與網站之間的互動,以及所有從鍵盤輸入的內容。

螢幕上每次點擊 都會被TikTok知悉

因此,除了用戶輸入或搜尋的資訊,密碼和信用卡卡號,以及螢幕上的每一次點擊,都有可能被TikTok知悉。克勞斯表示,這有如在第三方網站上,安裝了一個鍵盤記錄器。

對此,TikTok官方承認確實有這項機制,但目的是用來移除Bug(漏洞)和監控效能,例如頁面的載入速率或網頁是否當掉,以保持最佳的使用者體驗。

不僅如此,包括Instagram和臉書在內,其App內建的瀏覽器也有追蹤用戶活動的能力,包括了解用戶點了哪些連結,方便以後更有效的投送廣告和資訊內容,不過由於中共的影響力,外界仍對於TikTok及抖音的隱私保密較沒信心。

成功大學電機系教授張順志接受《大紀元時報》採訪時表示,抓取使用者個資的技術並不困難,當下載手機App時,使用者同意開放權限、獲取信用卡號等個資時,資訊就會流到廠商手上,只是有些無良軟體,無論使用者回答是否願意,它都會透過手機抓取使用者資訊。

法律健全國家 軟體產品也較有保障

他表示,還要看軟體開發商是位於哪個國家,若是法律較健全的國家,一般會對於智慧財產權與個人隱私較為保護,雖然不敢100%保證一定沒有惡劣廠商,但開發的軟體相對而言可信度高一些。

他說,但若一個國家,對個人隱私、智慧財產權本來就不重視,該國開發商做出一些不利於使用者的行為,「機率當然會高出很多」,他也奉勸,民眾在下載軟體前應該注意一下,軟體背後到底是哪個國家開發的。

不過他也強調,實際情況可能更複雜,因為有些軟體開發商可能註冊在A國、但真正團隊卻在B國,甚至還會背著A國開發商做出很多事情。但既然民眾已經知道,抖音的程式是留有後門的,因此該公司開發的軟體應該都要小心。

另外,根據港媒報導,中共網信辦日前已要求字節跳動、騰訊等企業提交平臺演算法,而目前抖音、微博、微信的演算法也已經由中共掌握。但目前仍不清楚TikTok作為抖音的國際版,是否也會受到影響。

中國軟體恐成中共監控國外管道

張順志表示,並非掌握演算法就能對使用者為所欲為,但企業都已經把演算法交出去了,中共若想再要一點東西,企業大概也都很難拒絕,畢竟在共產黨的體制下,政府、企業、市場其實是三者合而為一的,若最終這些軟體變成監控國外使用者的管道,「這也是有可能的」。

「所以說免費的最貴,十個免費軟體中,只要有一個出錯,使用者就要付出很大代價」,張順志強調,雖然每個人對隱私權的重視程度不同,但建議使用者還是盡量找其他替代軟體來自保。

不僅如此,除了密碼和信用卡可能會因為無良軟體的後門外流,手機的攝影機鏡頭、錄音功能,也可能在使用者不知道的情況下,透過遠端開啟。

張順志坦言,遠端開啟攝影機鏡頭、錄音等功能,其實技術並不難,有些無良軟體會在程式中埋入一些「額外」功能,就可以對使用者進行遠端監控,雖然不敢保證哪家公司100%不會這麼做,但中國那邊的公司信用度都比較低,相對而言風險會高一些。

手機很萬能 也很不安全

張順志強調,手機雖然很萬能,但其實很不安全,越萬能代表可以用軟體控制做出更多事情,「當它越萬能的時候,如果遇到不良的人,它就可以傷害越深」。◇