2022.09.23

TikTok被曝监控用户,其实要怪苹果的隐私新政

在快手方面第五次尝试出海之际,字节跳动的TikTok早已成为了全球范围内的现象级产品。如今在国内互联网行业几乎所有的出海产品中,TikTok无疑是最“能打”的那一个,以至于让Instagram等海外产品都不得不开始短视频化。但TikTok的强势崛起也使得其自两年前开始就一直处于风暴的中心,不仅要面对Meta持续不断的舆论攻势,安全研究人员更是持之以恒地对其“挑刺”。

日前,安全研究员Felix Krause发文称,TikTok在iOS应用内的浏览器中将JavaScript代码注入外部网站,允许TikTok在用户与给定网站交互时监控“所有键盘输入和点击”,包括密码和信用卡信息等任何敏感信息。并且这位安全研究员是这样形容TikTok的行为,“从技术角度来看,这相当于在第三方网站上安装键盘记录器。”

TikTok方面显然不认为自己的做法是恶意的,他们在声明中强调,相关JavaScript代码确实存在、但这并不意味任何恶意行为,这一代码仅用于调试、故障排除和性能监控。事实上,同样的事情Meta也干了,iOS版的Instagram、Facebook也使用了自家的应用内浏览器,而非苹果的Safari浏览器,同样也利用注入JavaScript代码的方式追踪用户的交互、文本选择,甚至是文本输入。

需要注意的是,无论TikTok还是Instagram、Facebook,它们都使用了自己定制的浏览器。对于移动互联网不了解的朋友可能会有这样的疑问,web端是PC互联网时代的代表,而移动互联网的象征则是APP,两者之间是替代关系,本应更“先进”的APP里不应该内置浏览器。

然而,APP(应用程序)的核心目的是为了实现某些功能,只要能达成目的手段并不需要固定,因此使用web端相关技术也是可以的。

通常来说,当下主流的APP开发分为了原生与混合两种模式。在原生开发模式下,APP是由“云服务器数据+APP应用客户端”两部分构成,APP中的所有页面都是用代码编写,其所有的UI、数据内容、逻辑框架均安装在移动终端上。尽管原生APP可实现的功能最全、用户体验更好,而且后期可维护性、可拓展性都很出色,但代价就是成本更高、开发周期更长。

为了节省开发成本,只需要一套代码就能做出iOS与Android两个版本,许多开发者选择了基于框架开发的混合开发模式,而这一模式下APP通常是由“HTML5网页+APP应用客户端”两部分构成。原生代码部分利用Web View插件为H5页面提供容器,程序主要的业务实现、界面展示都是借助与H5相关的Web技术实现,比如京东、淘宝、拼多多的APP就是借助混合开发模式而成。

既然大规模使用了web技术,用内嵌浏览器来实现更加丰富的功能也就在情理之中了。事实上,得益于过去二十余年积累、已经非常成熟的web技术,如今相当多APP本质上就是浏览器套了个APP的外壳,而这样做的好处就是只需要更新web代码就能实现APP功能的更新。当然,在APP里内置浏览器不仅仅是APP混合开发的产物,更有着运营层面的考量。

要知道,手机的可视空间如此之小,以至于移动操作系统的多任务操作是非常不利于用户体验的,并导致用户每跳出APP一次,就会增大流失率。为此,开发者自然希望能把用户尽可能的留在APP里。当然,APP里内嵌浏览器还有一个很隐秘的作用,那就是非常有利于挖掘用户数据。

就像前文所说,使用web技术开发APP带来的结果,就是每次升级版本只需在服务器端升级即可,不再需要上传到应用商店进行审核。

众所周知,苹果方面在iOS 14上线了应用追踪透明度(ATT)功能,IDFA(随机设备标识符)会从默认开启变成了使用时都需要弹出用户许可对话框,用户可自己选择 “允许追踪”或 “不允许”。而IDFA的主要功能,就是使广告商可以更精准地定位和跟踪用户行为,并确保数据的稳定性和一致性。没有IDFA就没有全面的用户数据追踪和收集,也就没有了完整的用户画像,自然也就做不到为目标用户提供针对性的广告。

ATT对于iOS生态的改变其实很简单,那就是将APP采集信息这件事从用户默认同意变为了显式告知。在ATT功能上线前,iOS用户是长期处于被APP开发者和广告商隐秘追踪的状态,但有了ATT后,为了自己的隐私,用户是不会再愿意APP追踪自己的,这就直接导致了Meta等依赖广告业务的互联网公司遭遇业绩下滑的问题。

但APP开发者需要通过广告变现,而苹果方面则希望通过为用户提供隐私保护承诺来增加产品的竞争力,双方的矛盾几乎是不可调和的,然而由于苹果在iOS生态中的地位过于强势、ATT是不太可能被取消的,但寻找IDFA的替代品却是可以的。所以显而易见,此次TikTok、Instagram、Facebook等APP的浏览器里注入JavaScript代码,或许是别有用心。



上一篇:App经营者如何把控个人信息保护合规要点?

下一篇:《信息安全技术 网络安全众测服务》要求即日公开征求意见