TikTok ในอดีต เคยใช้ช่องโหว่ Android เก็บข้อมูล MAC address ผู้ใช้โดยไม่ขออนุญาต

เมื่อสัปดาห์ที่ผ่านมา มีประเด็นร้อนแรงแอปวิดีโอยอดนิยมอย่าง TikTok ที่ถูกทางรัฐบาลสหรัฐฯ ลงนามใช้คำสั่งของฝ่ายบริหารแบนเป็นเวลา 45 วัน เนื่องจากมีประเด็นเรื่องความปลอดภัย และอาจมีความเสี่ยงต่อความมั่นคงของชาติในการขโมยข้อมูลส่วนตัวของผู้ใช้งานแล้วส่งต่อไปยังรัฐบาลจีน แต่ก็ยังไม่มีข้อพิสูจน์ที่ชัดเจนว่าสุดท้ายแล้ว TikTok เข้าถึงข้อมูลส่วนใด? ขโมยข้อมูลและส่งกลับไปให้จีนจริงหรือไม่?

แต่จากการวิเคราะห์ของสื่อ The Wall Street Journal มองว่า ในอดีต TikTok มีการละเมิดหลักเกณฑ์ของ Google Play Store  และยังได้ทำการเก็บรวบรวม MAC address ของอุปกรณ์ Android เพื่อใช้ติดตามผู้ใช้งานที่ออนไลน์อยู่  ซึ่ง MAC address ก็คือที่อยู่ของอุปกรณ์มือถือที่เชื่อมต่อกับอินเตอร์เน็ต จำนวน 12 หลัก มีประโยชน์มากกับผู้ที่ทำโฆษณา โดยเปิดทางให้พวกเขาเข้าไปติดตามอุปกรณ์ต่างๆ ผ่านอินเตอร์เน็ตเพื่อศึกษาและสร้างโปรไฟล์พฤติกรรมของผู้บริโภคกลุ่มต่างๆ เพื่อใช้ในการทำโฆษณา

แอป TikTok เก็บข้อมูลดังกล่าวมาแล้วอย่างน้อย 15 เดือน จนถึงช่วงที่ปล่อยตัวอัพเดตเมื่อ 18 พฤศจิกายน 2019 โดยแอป TikTok เคยส่งข้อมูล MAC addressพร้อมกับตัวระบุอุปกรณ์ (device identifier) ให้กับทางเซิร์ฟเวอร์ของ ByteDance อัตโนมัติช่วงที่เปิดตัวกับอุปกรณ์ Android ครั้งแรก

นโยบายของ Google Play Store มีการห้ามให้แอปต่างๆ เก็บเก็บรวบรวมข้อมูลที่สามารถระบุอุปกรณ์ เช่น MAC address โดยไม่รับการยินยอมจากผู้ใช้งานเสียก่อน นโยบายมีผลบังคับใช้ตั้งแต่ปี 2015 นอกจากนี้ การวิเคราะห์ของ The Wall Street Journal แสดงให้เห็นว่า TikTok ไม่ได้เก็บข้อมูลอื่นไป นอกจาก MAC address และข้อมูลต่างๆ ที่ถูกรวบรวมไปทั้งหมด ได้ถูกเปิดเผยในนโยบายเรื่องความเป็นส่วนตัวไปแล้ว และบริษัทใช้ความพยายามเป็นอย่างมากในการซ่อนข้อมูลที่เก็บรวบรวมมา โดยการนำข้อมูลมารวมกันโดยการเข้ารหัสที่กำหนดเอง

Nathan Good นักวิจัยจาก International Digital Accountability Council กล่าวว่า การซ่อน และทำให้เกิดความสับสนของข้อมูล ทำให้ยากที่จะระบุว่ามันจะถูกนำไปใช้ทำอะไรกันแน่ และ Marc Rogers รองประธานฝ่ายกลยุทธ์การรักษาความปลอดภัยทางไซเบอร์ของ Okta เชื่อว่า TikTok กระทำแบบนี้เพื่อข้ามการตรวจจับของ Apple และ Google ถ้าหากผู้เป็นเจ้าของสโตร์จับได้ว่า TikTok ส่งข้อมูลที่ระบุตัวตนเหล่านี้จริง คงมีการปฏิเสธแอปและถอนออกจากสโตร์ไปแล้ว

ทางด้านโฆษกของ TikTok กล่าวถึงเรื่องนี้ว่าไม่มีการเก็บข้อมูล MAC addressในแอป TikTok เวอร์ชั่นล่าสุดแล้ว นอกจากนี้ The Wall Street Journal ยังได้ติดต่อไปยัง Google และทราบว่ากำลังดำเนินขั้นตอนการตรวจสอบอยู่

ที่มา : NEOWIN

นักเขียนหน้าใหม่ ผู้หลงไหลในเรื่อง แมว หมี เทคโนโลยี และ โลกของไอที :)