剛剛過去的這個周末，TikTok以及微信海外版（Wechat）的命運可謂跌宕起伏、峰回路轉。

　　美國總統特朗普此前以國家安全為由下禁令，從上周日9月20日起，針對微信和TikTok的禁令將生效，但在上周六，他又表態贊成TikTok與美國公司甲骨文和沃爾瑪的合作方案。

　　Wechat方面，除了華人微信用戶聯盟在加州法院初戰告捷外，騰訊公司也祭出騷操作，趕在特朗普禁令之前把微信蘋果應用商店的WechatWork企業微信改了個名字，變成Wecom。不過騰訊這波抖機靈操作安全牛是看不懂的，因為根據美國商務部的新聞稿，“托管或轉移與Wechat相關的互聯網流量將是非法的” 。

　　言歸正傳，我們需要重新審視導致這一系列新聞鬧劇的本質問題：TikTok和Wechat到底有沒有危害美國國家安全和公民隱私？

　　特朗普于8月6日發布禁止令的理由只有一個：基于中國的應用程序存在“國家安全問題”。而商務部長威爾伯·羅斯（Wilbur Ross）在新聞稿中還補充了一條“隱私侵犯”，因為這些應用程序允許“中國惡意收集美國公民的個人數據。”

　　這個問題，從技術層面來說，只有網絡安全和隱私保護的專業人士才最有發言權。

　　近日，Threatpost搞了個美國網絡安全專家研討會，邀請了多位大咖發聲，是目前為止從技術層面對TikTok和Wechat相關的安全和隱私話題最為專業的探討。

　　隱私數據收集是一個行業共性問題

　　對于TikTok和微信的禁令，一部分美國安全和隱私專家認為，此舉對消費者是一個福音，并指出，與許多社交媒體應用程序一樣，這些應用程序被過度使用。例如，TikTok（根據其隱私權政策）確實會收集電話和社交網絡聯系人、GPS位置、個人信息（例如年齡）以及任何用戶生成的內容（例如照片和視頻），它也可以存儲付款信息。

　　Gurucul首席執行官Saryu Nayyar通過電子郵件表示：“在公眾需求、國家安全和有效的網絡安全之間取得平衡很有挑戰性。”“社交媒體應用程序是公眾演講和影響力的重要平臺，但是我們已經看到無數事件可以將這些平臺濫用于任何目的……基于人工智能和大數據的分析甚至可以看似普通的信息產生巨大價值和效用。”

　　Point3 Security戰略副總裁ChloéMessdaghi同意，由于是擁有龐大用戶群體的社交媒體渠道，TikTok和WeChat值得關注。但他指出，政府禁令（而不是讓用戶個人決定自己的數據去向）有其自身的問題。

　　她表示：“我們從本質上接受了允許（社交媒體）出于其目的收集我們的數據，而沒有披露如何使用這些數據，”“如今，主流的社交媒體公司對我們的了解比我們自己知道的要多得多，就消費者權益和透明度而言，所有這些社交媒體平臺的行為都有點像是自治政府。”

　　但是，她補充說：“截至目前，尚無公開證據表明中國已經獲得或使用了這些數據。這只是假設，從第一次修正案的角度來看這是不幸的結果。2020年，TikTok是占主導地位的平臺之一，該平臺已幫助志趣相投的人們共享信息和計劃，并團結在一起。就像Twitter在‘阿拉伯之春’期間所做的一樣，TikTok在這個夏天催化了很多進步運動，禁止TikTok是一種反動。”

　　沒有數據濫用的確鑿證據

　　Comparitech的隱私倡導者Paul Bischoff指出：盡管許多人認為TikTok將個人和使用信息發送回中國政府，但尚無具體證據表明這種影響已存在于該應用程序的現有技術中。

　　實際上，Comparitech 對TikTok的隱私和安全問題進行了詳細評估，沒有發現TikTok正在收集用戶數據并將其發送到中國的證據。

　　“沒有顯示出TikTok可以收集比其他社交媒體應用程序更多的數據，”Paul Bischoff指出：“這在美國開創了審查制度的危險先例。我們正在禁止中文應用程序，但采用了中國審查制度，后者更令人擔憂。”

　　Pixel Privacy的消費者隱私專家Chris Hauk表示完全同意Paul Bischoff的看法，他指出：“考慮到沒有真正的威脅被證明，這（禁令）有點反應過度。”“這項禁令的審查制度使我感到困惑。當然，如果需要，可以禁止在政府和某些行業中使用這些應用程序。但是，頒布中國式的禁令是美國應該做的嗎？”

　　他補充說：“在頒布任何禁令之前，需要進一步調查。基于未經證實的懷疑就去封殺應用程序顯然屬于一種審查制度。”

　　為了解除禁令，可能需要進行幾輪深入的技術審計。Netenrich的CISO布蘭登·霍夫曼（Brandon Hoffman）表示，技術審計包括但不限于代碼庫審查和流量分析，他補充說，他希望看到公開透明的技術審查信息。

　　Hoffman指出：“政府這樣做有其理由。”“但另一方面，禁止特定應用程序不但侵犯個人權利，甚至也會侵犯我們的隱私，盡管這個禁令的理由是保護隱私。在當今這個時代，消費者非常精通技術，并且了解情況。如果政府希望證明禁令的正當性，那么，他們應該公開一些技術細節或調查結果。”

　　禁令引發新的安全問題

　　Lookout安全解決方案高級經理Hank Schless指出，需要關注由于禁令本身而可能引起的安全問題。具體來說，由于TikTok和Wechat（在美國市場）被封殺，因此不會發布補丁或更新。對于希望利用該應用程序的犯罪分子來說，這可能是一個“黃金時期”。

　　“這是有風險的，因為如果有人在任何一個應用程序中發現漏洞，將無法發布修復程序，并且用戶將繼續承受風險，”Schless告訴Threatpost。

　　另外，由于禁令，那些想要使用Wechat或TikTok的人可能會轉向盜版版本，這將產生一個巨大的威脅。

　　他說：“攻擊者可能會開始通過各種渠道（例如其他社交媒體平臺）分發該應用程序的惡意版本。”“他們可以確定屬于TikTok和微信用戶主要人群的目標，并向他們發送社交工程消息以及指向惡意應用程序的鏈接。”

　　這已經發生了：印度禁止該應用程序時，網絡犯罪分子在禁令頒布一周內通過社交媒體，短信和消息平臺發布了名為“TikTokPro”的東西。

　　Schless說：“一旦禁令生效，印度的TikTok Pro冒牌應用程序背后的攻擊者便能夠在很短的時間內開發和分發該應用程序。”“同樣地，網絡犯罪分子也能利用美國的類似情況并從公眾對應用程序的需求或竊取個人數據中獲利。每個人都應該對將來嘗試針對移動設備分發這兩個應用程序的偽造版本保持高度警惕。”