WSJ: TikTok больше года собирал MAC-адреса пользователей смартфонов на Android Статьи редакции
Это идентификатор, позволяющий приложению отслеживать пользователей в интернете.
TikTok обошел защиту конфиденциальности в операционной системе Android от Google и собирал уникальные идентификаторы «миллионов» устройств, выяснили аналитики The Wall Street Journal.
Приложение собирало пользовательские данные как минимум 15 месяцев, а в ноябре 2019 года TikTok прекратил эту практику, пишет издание.
Речь идёт о MAC-адресах — это идентификатор, позволяющий приложению отслеживать пользователей в интернете без возможности отключить эту функцию, объясняет WSJ.
TikTok скрывал отслеживание с помощью необычного дополнительного слоя шифрования и нарушал политику Google, запрещающую приложениям следить за пользователями, утверждает издание.
Представитель Google сообщил, что компания изучает результаты исследования WSJ, и отказался комментировать уязвимость, позволяющую некоторым приложениям собирать MAC-адреса.
Как пишет издание, около 1% приложений для Android собирают MAC-адреса, согласно исследованию, проведенному в 2018 году AppCensus, занимающейся анализом мобильных приложений.
Федеральная торговая комиссия заявляла, что MAC-адреса считаются личной информацией в соответствии с Законом о защите конфиденциальности детей в интернете, напоминает издание.
- В июле американские власти начали обсуждать возможную блокировку TikTok — приложение собирает данные пользователей и передают китайскому правительству, считает Белый дом.
- 31 июля президент США Дональд Трамп пообещал «немедленно» заблокировать TikTok в стране.
- Чтобы избежать блокировки, материнская компания ByteDance решила продать TikTok американской компании.
- Bloomberg и The New York Times сообщили, что переговоры о сделке с ByteDance ведёт Microsoft. Американская компания подтвердила переговоры.
- Затем WSJ сообщило, что предварительные переговоры также ведёт и Twitter.
Комментарий недоступен
А что смешного? Мне ни разу не смешно. Это не куки и не айпи, это железо (!) И режим инкогнито в браузере не спасет от нацеленной именно на тебя рекламы 🤪. И смена железа не поможет, так как рекламщики (даже наши, в частности - майл и Яндекс) связывают железо и все айпи и аккаунты. Они не "могут в теории это сделать" они ДЕЛАЮТ ЭТО НА ПРАКТИКЕ (!) 😐
Недавно прочитал на "wi-fi радар" у нас это якобы не персональные данные, но с данными аккаунтов (которые есть у рекламщиков Яндекс и майл) - это уже не просто персональные данные, а досье.
но кроме твоего провайдера и тебя никто не знает твой мак-адрес. да и то, только мак-адрес твоего маршрутизатора с которого ты выходишь в интернет. не думаю, что простейшие настройки безопасности в текущих устройствах позволят какому-то приложению отправить такие данные, да и как они будут в рекламе работать? никто не мешает работодателям тебя "догонять" через свои индентификаторы, которые они тебе присваивают, а не по мак-адресу устройства. таргетинг, например, по первым трём октетам мак-адреса - тоже полнейший бред или, например, таргетинг по OUI или MFG...
1.Именно мак адреса ТВОЕГО устройства собирается.
2.У рекламщиков УЖЕ ЕСТЬ инструменты что-то типа "пользовательские данные" и ОНИ РАБОТАЮТ, и не первый год
3.Режим инкогнито мешает рекламщикам тебя догонять 😉
Точнее прочитайте на сайте wi-fi радар. Прежде чем разбрасываться словами "бред" не мешало бы загуглить тот источник, который я указывал и в предыдущем комменте.
Если лень:
ЭТО УЖЕ РАБОТАЕТ! И люди зарабатывают на этом деньги. Мак адрес устройства собирается аппаратно, если речь идёт про вай-фай радар, как у них там в приложении устроено я не знаю, но раз у Гугла есть политика в отношении программного собора мак адресов, то наверное не на основе научной фантастики?
И да, я загуглил, в отличии от сильно умных комментаторов - это программно возможно и все об этом знают. Источник - статья на состав ру - "беспроводная революция: как мобильные идентификаторы помогут
рынку наружной рекламы"
РАУНД! 😎
Аппаратно это работает так - твоё устройство сканирует все вай-фай сети, оставляя свой мак адрес радару, аппаратно не нужно даже предоставлять какой-либо интернет, а тебе достаточно не выключить вайфай в телефоне, чтобы тебя считали.
Такие ответы, как будто это я сам придумал, а не люди в это деньги вкладывают и зарабатывают на этом.🤷🏼♂️ Уж загуглить каждый может. "Дом ру бизнес" предоставляет такие услуги, кстати 😉
П.с. пора оставить иллюзии информационной безопасности в прошлом веке 😐
Единственное — Android и iOS рандомизируют MAC при сканировании эфира. Есть Wokaround-костыли, когда ты представляешься известной пользователю сетью (MT_FREE, например), и тогда устройство, если на нем включено автоподключение к этой сети, пытается с тобой соединиться уже с настоящим MAC.
Но iOS, начиная с версии 14, уже будет рандомизировать MAC и при подключении к известной сети.
У данного сервиса аппаратный подход, там не просто хакают чужой вайфай роутер. Думаю они используют другую схему. Но спасибо за информацию! 🙂
А вообще с технической стороны я не в курсе что и как 🤷🏼♂️
Я лишь указал, что это возможно и программно и аппаратно
В той статье, которую я указал как источник от 2019 года про это тоже было, но там указывалось, что на Андроиде всё же можно получить реальные адреса
Меня лично пугает насколько далеко рекламщики могут зайти. Кстати я пришёл к ним на сайт узнать услуга от дом ру бизнес их технология, или другая, на что получил примерно дословный ответ - "у нас заключены соглашения и неразглашении со многими партнёрами". Т.е. они внедряют свои технологии в другие сервисы чуть ли не по франшизе - вот это не радует...
Но страшнее прослушки в офлайне и в спящем режиме приложениями фейсбука и других, для меня наверное не будет уже ничего.
Кстати пишу это с гугл клавиатуры, несколько раз написал wi-fi радар - и в браузере на работе сразу выскочила реклама. Совпадение? Возможно, т.к. я правда заходил на их сайт на прошлой неделе, но что-то не верится. Учитывая, что сейчас я ещё и вопросами рекламы занимаюсь, и сколько чуть ли не безграничных возможностей сейчас существует - я полностью разуверился во всех политиках конфиденциальности 😐
Хакать ничего и не надо. Достаточно назвать точку тем же именем, что уже знает телефон (MT_FREE, Beeline_Free и и.д.). На попытку подключения можно давать отказ — MAC уже получен (до iOS 14 и Android 10).
Ты же знаешь, что этот метод не работает именно вот так? Не знаю как iOS, но Android не подключается к сети только по совпадению SSID. Должны быть ещё те же самые BSSID и тип шифрования.
А так как только отбитые подключаются к МТ_ФРИ и подобным, то прикидываться ими бессмысленно. Итого это работает (работало до Android 10 и скоро ещё Эпл подтянется) только на домохозяйках, которые и так деньги телефонным мошенникам раздают.
Комментарий недоступен
Поиск сети осуществляется со случайного МАК адреса.
Комментарий недоступен
Установка сниффера на андроид? Без рута?
Комментарий недоступен
И что это даст - ну получим мы случайный МАК адрес, который используется для проверки сети. Что дальше с ним делать?
Комментарий недоступен
О как! Так может нам "эксперт" расскажет что же там за условная случайность. Желательно прям со ссылкой на исходник, чтобы не быть голословным? Или только языком молоть?
Точку называют MT_FREE или типо того и мобилка туда лезет своим настоящим маком
На iOS 14 — уже с рандомным. Вон, пишут, что на Android, начиная с 10, тоже с рандомным.
когда телефон ищет сети вокруг, то для сокрости он шлет запрос "кто здесь -отзовитесь" - вот этот запрос стал с рандомного слаться, а когда он видит знакомую ему точку он уже с настоящего пытается цепануться сразу
Комментарий недоступен
Стоит попросить ссылку на код, как "эксперт" сразу слился.
Комментарий недоступен
Ого! "Эксперт" даже не в курсе что исходный код Андроида открыт.
Комментарий недоступен
Вагон апломба и пригоршня знаний. AOSP основа для всех коммерческих весий андроида, там из закрытых вещей это драйвера под конкретное железо и проприетарные приложения типа google play services.
Ну и чтобы не быть совсем голословным, вот ссылка на функцию рандомизации МАК (которую "эксперт" обосрался привести)
https://github.com/aosp-mirror/platform_frameworks_base/blob/a4ddee215e41ea232340c14ef92d6e9f290e5174/wifi/java/android/net/wifi/WifiConfiguration.java#L1051
Комментарий недоступен
Не знаю насчёт сниффера, но файрволлы есть:
— NoRoot Firewall (успешно пользуюсь, всячески рекомендую, летает даже на оч старых телефонах);
— NetGuard (заметно тяжелее предыдущего, мне не понравился, но он более известен);
— MobiWall (не дошли руки попробовать).
NoRoot Firewall создает VPN соединение и уже там режет трафик. В контексте того что мы обсуждали: это не даст доступ к МАК адресу, это нельзя провернуть незаметно от пользователя.
40%
Комментарий недоступен
Да.
Неправда, ещё мобильное приложение Wi-Fi в метро СПБ и Москвы знает твой мак. Более того, оно по этому маку авторизовывает пользователя и привязывает его к мобильному телефону