WSJ: TikTok больше года собирал MAC-адреса пользователей смартфонов на Android Статьи редакции
Это идентификатор, позволяющий приложению отслеживать пользователей в интернете.
TikTok обошел защиту конфиденциальности в операционной системе Android от Google и собирал уникальные идентификаторы «миллионов» устройств, выяснили аналитики The Wall Street Journal.
Приложение собирало пользовательские данные как минимум 15 месяцев, а в ноябре 2019 года TikTok прекратил эту практику, пишет издание.
Речь идёт о MAC-адресах — это идентификатор, позволяющий приложению отслеживать пользователей в интернете без возможности отключить эту функцию, объясняет WSJ.
TikTok скрывал отслеживание с помощью необычного дополнительного слоя шифрования и нарушал политику Google, запрещающую приложениям следить за пользователями, утверждает издание.
Представитель Google сообщил, что компания изучает результаты исследования WSJ, и отказался комментировать уязвимость, позволяющую некоторым приложениям собирать MAC-адреса.
Как пишет издание, около 1% приложений для Android собирают MAC-адреса, согласно исследованию, проведенному в 2018 году AppCensus, занимающейся анализом мобильных приложений.
Федеральная торговая комиссия заявляла, что MAC-адреса считаются личной информацией в соответствии с Законом о защите конфиденциальности детей в интернете, напоминает издание.
- В июле американские власти начали обсуждать возможную блокировку TikTok — приложение собирает данные пользователей и передают китайскому правительству, считает Белый дом.
- 31 июля президент США Дональд Трамп пообещал «немедленно» заблокировать TikTok в стране.
- Чтобы избежать блокировки, материнская компания ByteDance решила продать TikTok американской компании.
- Bloomberg и The New York Times сообщили, что переговоры о сделке с ByteDance ведёт Microsoft. Американская компания подтвердила переговоры.
- Затем WSJ сообщило, что предварительные переговоры также ведёт и Twitter.
Ох, блядь, эксперты хуевы. Мак адрес нельзя получить в Android 6 и выше, не запросив геолокацию. А этот запрос пользователь может запретить.
Вопрос не в том, что пользователь может сделать. Вопрос в том, что он или она делает.
Для большинства пользователей запрос геолокации не будет подразумевать «а ещё получить неизменяемый ID моего устройства».
В статье сказано, что нельзя заблокировать Это ложь.
Ну знаете, это такой запрет на face recognition путём отрезания своей ноги надрезом через нос. По факту — нормально запретить нельзя, только через side effect отключения вообще другой функции с потерей вообще не связанной с MAC функциональности.
Тогда уж можно отключить просто выключив телефон.
1. Мак адрес — часть вай-фай
2. Получив определённые данные о текущем Вай-Фай коннекте, можно узнать твоё местоположение
Следствие — доступ к информации о вай-фай подключении (а равно и блютуз) открывает доступ к геолокации. Потому и пермишен общий. То есть да, чтобы заблокировать сбор инфы о блютузе надо тоже геоклокацию запретить.
Итого, в чём трудность не давать доступ к геолокации для приложений социальных сетей?
Ну и в Android 10, если ты не девайс овнер, то настоящий мак в принципе не получишь: https://developer.android.com/reference/android/app/admin/DevicePolicyManager?hl=ru#getWifiMacAddress(android.content.ComponentName)
Да и вообще:
Between Android 6.0 (API level 23) and Android 9 (API level 28), local device MAC addresses, such as Wi-Fi and Bluetooth, aren't available via third-party APIs. The WifiInfo.getMacAddress() method and the BluetoothAdapter.getDefaultAdapter().getAddress() method both return 02:00:00:00:00:00.
Additionally, between Android 6.0 and Android 9, you must hold the following permissions to access MAC addresses of nearby external devices available via Bluetooth and Wi-Fi scans: