第一部分:抖音海外版听证会事件
抖音是中国最受欢迎的短视频应用之一,也是中国互联网企业在海外市场上最成功的案例之一。抖音的海外版TikTok在全球拥有超过10亿的用户,尤其在美国、印度、日本等国家和地区非常受欢迎。然而,抖音的海外发展并不顺遂,它经常面临着来自各方面的质疑和挑战,其中最主要的就是关于用户数据隐私和信息安全的问题。
2023年3月23日,抖音的母公司字节跳动的CEO周受资出席了在美国国会举行的一场听证会,就公司数据隐私、用户信息安全以及政府监管等问题进行了回答。这是周受资首次出席美国国会听证会。在会上,它表示TikTok的用户数据隐私和安全是公司最重要的考虑因素,并且已经采取了一系列严格的措施来保护用户信息。它还表示,TikTok并没有向中国政府提供任何用户数据,并且绝不会这样做。
此次听证会的背景是美国政府对TikTok的监管越来越严格,曾多次声称TikTok存在安全隐患,并威胁要禁止该应用在美国境内的运营。尽管TikTok在美国的用户量仍然持续增长,但这些监管问题仍然困扰着该公司。周受资在听证会上还强调了TikTok在美国的贡献,称该应用为数百万美国人提供了娱乐和创作的平台,同时也创造了大量就业机会。
这场听证会引起了广泛的关注,许多媒体都对此进行了报道。TikTok的用户和粉丝也在社交媒体上热烈讨论这一事件,纷纷表达了对TikTok的支持和信任 。
第二部分:藏在国内的数据窃取者
抖音作为中国互联网企业在海外市场上取得成功的典范,其在数据隐私和信息安全方面所面临的挑战和压力也值得我们深思。与此同时,我们也应该关注国内其它互联网企业在这方面是否有做得足够好。事实上,在国内有一家公司的APP软件,其在数据隐私和信息安全方面存在着更为严重和恶劣的问题。这家APP软件是一个以低价和拼团为特色的电商平台。其在国内拥有超量用户。当然它也曾试图进军海外市场,但是却遭到了谷歌的下架。
第三部分:国外巨头的反应及反响
2023年2月28日,谷歌宣布将这款APP从其应用商店Google Play中下架,原因是这款软件被发现存在恶意软件行为,涉嫌侵犯用户隐私和信息安全。据报道,其利用安卓系统的漏洞,可以在用户不知情的情况下悄悄下载和安装其它应用程序,甚至可以控制用户的手机摄像头和麦克风,窃取用户的声音和图像数据。这些行为严重违反了谷歌的应用商店政策和规范,因此谷歌决定对国内某电商APP进行惩罚性的下架。
这一消息一经公布,立刻引起了轩然大波。它在海外市场上的用户和合作伙伴都感到震惊和愤怒,纷纷表示要抵制和投诉这款产品。它在海外市场上的声誉和信誉也受到了严重的损害。更重要的是,其在海外市场上的业务也受到了重创。由于谷歌的下架,这款软件现在无法在安卓系统上正常运行,导致其无法为海外用户提供服务和交易。这对于一个以低价和高频为特点的电商平台来说,无疑是致命的打击。
谷歌的下架对于它来说还有另一个严重的后果,那就是其股价的暴跌。这款软件的母公司作为一家在美国纳斯达克上市的公司,其股价受到了市场情绪和舆论影响的很大。谷歌宣布下架这款APP后,它股价立刻出现了断崖式下跌,一天之内就跌去了近15%,创下了近阶段新低。这让它的投资者和股东都遭受了巨大的损失。
面对如此严重的危机,它却没有任何回应和解释。它没有对谷歌的指控进行任何辩驳或澄清,也没有对用户和合作伙伴进行任何道歉或补偿。甚至没有对自己的股价暴跌进行任何分析或调整。它就像一个缩头乌龟一样,完全消失在了公众视野之外。
第四部分:国外实验室的佐证
这款软件是一款社交电商平台,它通过拼团的方式来吸引用户购买商品。它的口号是“多多省钱,多多赚钱”,声称可以让用户享受到超低价的商品和高额的返利。但是,这背后却隐藏着一个巨大的安全隐患。据卡巴斯基实验室的研究人员发现,其安装程序中包含了恶意代码,这些代码可以利用Android系统的漏洞来提升自己的权限,下载并执行更多的恶意模块。这些模块可以访问用户的通知、文件、短信、通话记录、位置、联系人等敏感信息,甚至可以远程控制用户的手机。这就相当于给了软件一个钥匙,让它可以随意进入我们的手机,偷窥我们的隐私,甚至操纵我们的行为。
你可能会问,它为什么要这么做呢?底想得到什么呢?其实,它的目的很简单,就是为了赚钱。它通过收集用户的信息,可以分析用户的喜好、习惯、需求等特征,然后根据这些特征来推送更符合用户口味的商品和广告。这样就可以提高用户的购买转化率和广告点击率,从而增加它的收入。同时,它还可以把用户的信息卖给第三方机构或个人,比如广告商、黑客、诈骗者等。这样就可以从中获得更多的利润。而用户则成为了它赚钱的工具和牺牲品。
那么,我们该怎么办呢?我们怎么才能避免成为它的受害者呢?其实,方法很简单,就是卸载它。不要被它继续诱惑了,不要以为它能帮你省钱或赚钱。其实你付出的代价远远大于你得到的收益。你不仅可能买到假货、劣质货、过期货等问题商品,还可能丢失你的隐私、财产、安全等重要东西。如果你已经安装了这款软件,请立即检查你的手机是否有异常情况,并及时更改你的密码、支付方式等重要设置。同时,请不要再点击任何来自它或类似的链接或二维码。
第五部分:它究竟窃取了我们什么?
那么这款软件的漏洞究竟有多可怕?看看这些例证就知道了
它被曝存在严重安全漏洞,卡巴斯基实验室等多方证实,它利用了安卓系统中的一个零日漏洞,提升了自己的权限,并窃取了用户的个人数据,并在用户不知情的情况下安装了恶意应用。这一消息引发了广泛的关注和讨论。
那么,它具体利用了哪些漏洞,会造成哪些损害呢?我们来看看一些具体的例证吧。
l 点了广告链接后强制下载
据知乎专栏文章《“窃听风暴”? 专设百人技术团队盗取用户隐私》1,它在其应用中嵌入了一个名为“广告助手”的模块,该模块可以在用户点击某些广告链接后,强制下载并安装其他应用。这些应用可能是它的合作伙伴,也可能是恶意软件。这样做的目的可能是为了获取更多的广告收入或者用户数据。
l 收集手机中的聊天记录达到精准推销
据CNN报道,它利用漏洞提升自己的权限后,可以访问用户手机中的通知栏和文件系统。这意味着它可以读取用户手机中的聊天记录、短信、邮件等内容,并根据这些内容进行精准推销。例如,如果用户在微信上和朋友聊到想买一双鞋子,那么它就可能推送相关的商品信息给用户。
l 监听手机中其它软件的信息
据掘金文章《APK利用漏洞牟利复现》,它利用漏洞提升自己的权限后,可以监听手机中其它软件的信息。例如,如果用户在支付宝上进行了一笔交易,那么它就可以获取到交易金额、时间、对方账号等信息,并根据这些信息进行分析或者推送相关的商品信息给用户。
l 无法真实卸载
据CNN报道,它利用漏洞提升自己的权限后,可以隐藏自己在手机中的存在,并阻止用户真正地卸载它。即使用户在设置中删除了它应用,它仍然会留在手机中,并继续运行。这样做的目的可能是为了保持对用户手机的控制,并继续收集用户数据。
l 利用漏洞搞了个假卸载入口,卸载后仍存在手机中
据CNN报道,它还利用漏洞搞了个假卸载入口,在其应用中设置了一个“退出登录并删除账户”的选项。如果用户点击这个选项,它会弹出一个对话框,提示用户是否要删除所有数据并退出登录。如果用户选择是,那么它会显示一个假象,让用户以为已经成功卸载了应用。但实际上,它仍然存在于手机中,并继续运行。
以上就是一些它利用漏洞提高自己市场占有率的行为。
第六部分:它甚至组织了专业的黑客团队
此外,这家互联网巨头还被曝光有一个由100人组成的黑客团队,专门研究安卓手机的漏洞,以达到不可告人的商业目的。这一消息引发了国内外的广泛关注和质疑。
据CNN报道,它在2020年成立了一个秘密的技术团队,由工程师和产品经理组成,负责寻找安卓手机系统的漏洞,并利用这些漏洞获取用户的隐私数据,包括通讯录、短信、位置、相册等。这些数据可以用来分析用户的喜好、行为和消费习惯,从而为它提供更精准的营销策略和推荐算法。
CNN采访了来自美欧和亚洲的六个网络安全团队,以及多名前任和现任它员工,对它的恶意行为进行了深入调查。结果发现,它利用了大约50个安卓系统漏洞,其中大部分都是针对国内手机厂商定制的系统模块。这些漏洞可以让它绕过用户的授权,甚至远程删除用户手机上的文件。
网络安全专家表示,他们从未见过像它这样的主流应用程序,试图提升它们的权限以访问它们不应该访问的东西。他们认为,它将侵犯隐私和数据安全的行为提升到了一个新的水平。
在此之前,这款软件就已经因为侵犯用户隐私而屡遭指责。例如,在2021年,它就被媒体曝光因为与一位用户有消费纠纷,竟然远程删除用户手机上的证据截图。另外,正如前文所说,在2023年初,它就被Google在Play商店下架,并被卡巴斯基证实包含恶意代码。
这次被曝光的事件,不仅损害了自身的声誉和信任度,也可能对其旗下的跨境电商平台造成影响。这个平台是它在2022年9月上线的一款面向北美市场的APP,在短短几个月内就创造了5亿美元的GMV,并在今年2月进入加拿大市场。CNN认为,它这次事件将导致这款软件受到更多的关注和审查。
第七部分:黑客团队的解散与重组
CNN报道出来后,这家公司迅速做出了反应。它在3月5日发布了更新的6.50.0版本,移除了利用漏洞的代码,并解散了负责开发这些漏洞的团队。不过专业人士称,漏洞利用的底层代码依然还在,随时可以被重新激活。
此外,它这次事件也可能对中国其他互联网公司出海产生连带影响。
其作为国内最大的电商平台之一,也是最具争议的互联网公司之一。近期,它因为涉嫌侵犯用户隐私、恶意利用安卓系统漏洞、违反劳动法等问题,引发了舆论的广泛关注和批评。而在这些问题背后,有一个神秘而强大的黑客团队在起着关键的作用。
据CNN等媒体报道,它在2020年组建了一个由100名工程师和产品经理构成的团队,专门寻找安卓手机的漏洞,开发利用这些漏洞的途径,并以此牟利。这个团队的负责人是是信息安全界闻名的Flanker。Flanker是一位天才黑客,15岁上浙大,22岁就拿下世界黑客大赛冠军,并曾在腾讯科恩实验室等知名安全团队任职。
它黑客团队利用了大约50个安卓系统漏洞,其中大部分都是针对某个OEM厂商的定制模块。他们通过这些漏洞,可以获取用户的隐私数据、远程控制用户手机、删除用户证据截图等。他们还采取了比较“审慎”的运营策略:基于这些漏洞开发的功能,最初避开了北上广深等一线城市,只针对农村地区和小城镇的用户,因为这样可以降低暴露的风险。
然而,这个团队并没有持续太久。在2021年1月,有消息称Flanker因为“拒绝做黑客攻击业务”,遭到这家公司的辞退。而且事后它也涉嫌赖账Flanker应得的价值上亿的赔偿奖金期权。Flanker在微博上表示已委托律师处理,并开始普法教育网友关于非法侵入计算机信息系统罪和破坏计算机信息系统罪等法律知识。
在2021年2月底,网络安全公司深蓝曝光了它利用漏洞牟利的行为,并提供了技术分析报告。在3月5日,它发布了更新的6.50.0版本,移除了利用漏洞的代码。同时更新后,上面提到的负责开发这些漏洞的团队被解散,CNN称这些成员大多被转移到海外平台版本工作,不过它仍保留了20人左右的核心团队继续“捡漏”。
海外平台版本是它旗下的跨境电商平台,在北美迅速起量。目前海外平台版本在海外还没有遇到同样的问题,但无论是彭博还是CNN的报道,都提及海外平台版本是它旗下的跨境电商平台,于2022年9月1日在美国、加拿大、新加坡、中国台湾、中国香港等市场上线。海外平台版本的口号是“Team Up,Price Down”,即通过团购的方式降低商品价格,吸引海外消费者。海外平台版本依托它在国内电商领域的经验和技术,迅速在北美市场占据了一定的份额,成为三季度发展最快的海外移动端应用。
然而,国外的用户并不知道背后隐藏着一个不为人知的秘密:它曾经拥有一个由100名黑客组成的技术团队,专门寻找和利用安卓手机系统的漏洞,获取用户的隐私数据、远程控制用户手机、删除用户证据截图等。这个团队的负责人就是Flanker,一位15岁上浙大,22岁就拿下世界黑客大赛冠军的天才黑客。在解散黑客团队后,这个团队大部分成员被转移到海外平台版本工作。
那么,这些被转移到海外平台版本工作的黑客们,在海外市场会做些什么呢?他们会不会继续利用安卓系统漏洞来获取用户数据和控制用户手机呢?他们会不会给海外平台版本带来更大的风险和争议呢?
第八部分:反思:数据隐私与监管困境
这款中国最大的电商平台之一的软件,以低价和团购吸引了数亿用户。但是,它背后也隐藏着一个不为人知的秘密:它曾经拥有一个由100名黑客组成的技术团队,专门寻找和利用安卓手机系统的漏洞,获取用户的隐私数据、远程控制用户手机、删除用户证据截图等。这些恶意行为不仅侵犯了用户的权益,也给它带来了巨大的法律风险和社会舆论压力。
海外平台版本是它旗下的跨境电商平台,于2022年9月1日在美国、加拿大、新加坡、中国台湾、中国香港等市场上线。海外平台版本依托它在国内电商领域的经验和技术,迅速在北美市场占据了一定的份额,成为三季度发展最快的海外移动端应用。
那么,这些被转移到海外平台版本工作的黑客们,在海外市场会做些什么呢?他们是否还会继续利用安卓系统漏洞来获取用户数据和控制用户手机呢?他们是否会给海外平台版本带来更大的风险和争议呢?
我们无法得知他们的具体行为,但我们可以从它的数据隐私和安全问题,以及海外平台版本的合规性处理,看出一些端倪。
它事件再度暴露出当下一些主流应用的数据收集、使用和管理,在一定程度上仍处于失控状态。在利益驱使下,某些商业机构并未将个人隐私信息保护放在心上。他们通过收集用户活动的大量数据,改进其机器学习模型,提供更具有个性化的推送通知和广告,吸引用户打开应用并下单。但是,这些数据是否经过了用户的同意和授权?这些数据是否被妥善保管和加密?这些数据是否被用于合法和正当的目的?这些问题都值得我们深思。
而且,它利用漏洞的行为不仅违反了用户的信任,也违反了国家的法律规定。根据《中华人民共和国网络安全法》第四十二条规定,“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。”
而根据《中华人民共和国刑法》第二百八十五条规定,“违反国家规定,侵入计算机信息系统或者使用计算机信息系统资源的,处三年以下有期徒刑或者拘役,并处或者单处罚金;造成损失的,依照前款的规定从重处罚。”因此,它利用漏洞获取用户数据和控制用户手机的行为,已经构成了非法侵入计算机信息系统罪和破坏计算机信息系统罪。
另一方面,海外平台版本作为它在海外市场的延伸,也面临着更加严格的监管和竞争。每个国家和地方的合规性政策不同,要想全球化,海外平台版本也需要进行本地化运作,进行合规性处理。在海外平台版本的网站上,“支付安全、数据安全、知识产权保护”就被打在一个显眼的位置,这也暗示着数据隐私风险成为互联网公司投资者做投资决策时需考虑的最重要因素之一,更是不同公司在ESG评级结果中差距较大的一项。而且,在美国政府和其他西方国家不断加强网络安全监管的背景下,打压中国APP已成为当前的一种“时尚”。如何在围追堵截中突围,中国的APP开发商还要做足功课,做好应战准备。
总之,它的黑暗面给我们带来了深刻的启发:数据隐私不容践踏,网络安全不容忽视。作为互联网企业,在追求利润和发展的同时,也要尊重用户权益和社会责任。作为用户,在享受便利和优惠的同时,也要保护自己信息和安全。
版权声明:内容来源于互联网和用户投稿 如有侵权请联系删除