TikTok собирал MAC-адреса через уязвимость в Android

[Artifact]

С помощью техники, замаскированной с использованием дополнительного слоя шифрования, TikTok обходил механизмы безопасности в Android.

Продолжающиеся споры вокруг TikTok обострились в четверг, 14 января, когда сервис обвинили в слежке за миллионами пользователей Android-устройств с использованием техники, запрещенной компанией Google.
Как сообщает газета Wall Street Journal, с помощью техники, замаскированной с использованием необычного дополнительного слоя шифрования, TikTok обходил реализованные в Android механизмы безопасности и собирал уникальные идентификаторы миллионов устройств, позволяющие сервису отслеживать пользователей online, не давая им никакого права выбора. По данным издания, в течение 15 месяцев TikTok эксплуатировал «лазейку» в мобильной ОС для сбора MAC-адресов и прекратил эту практику в ноябре 2020 года.
При установке и первого открытия приложения на устройстве TikTok отправлял MAC-адрес вместе с другими данными об устройстве своей родительской компании ByteDance.
Согласно Закону США о защите конфиденциальности детей в интернете (Children's Online Privacy Protection Act, COPPA), MAC-адреса являются персонально идентифицируемой информацией. Они представляют собой уникальные идентификаторы, присутствующие во всех подключаемых к интернету смартфонах, в том числе в Android- и iOS-устройствах. MAC-адреса могут использоваться как для таргетированной рекламы, так и для отслеживания пользователей и составления их досье.
Как сообщили представители сервиса в комментарии изданию Wall Street Journal, «текущая версия TikTok не собирает MAC-адреса».
Apple iOS блокирует сторонним сервисам возможность читать MAC-адреса в рамках функции безопасности, добавленной в 2013 году, но в Android она по-прежнему присутствует. Уязвимость была обнаружена исследователем безопасности по фамилии Риардон, который уведомил о ней Google в июне 2020 года. По словам исследователя, он был очень удивлен, что уязвимость до сих пор присутствует в последних версиях Android. В ответ на уведомление Риардона Google сообщила, что у нее уже есть отчет об этой уязвимости.