美安全專家認為Oracle-沃爾瑪-TikTok交易不夠安全
責編:gltian |2020-11-11 11:01:12Oracle-沃爾瑪-TikTok三方交易引起了安全從業(yè)人員的極大興趣,這種史無前例的合作模式,引發(fā)了關于最佳安全實踐的廣泛探討。
近日網(wǎng)絡安全專家Jimmy Tom撰文指出,Oracle-沃爾瑪-TikTok三方交易并沒有看起來那么安全,甚至制造了虛假的安全感。
Tom認為,最初業(yè)界預計字節(jié)跳動將把TikTok在美國的業(yè)務全部出售給一家美國公司,但現(xiàn)在代之以某種程度不那么令人滿意的“可信技術合作伙伴關系”,字節(jié)跳動將繼續(xù)保留其人工智能推薦算法和源代碼,而甲骨文將擁有“檢查TikTok美國源代碼的權限”。Tom認為這并不意味著完全的可見性:“不幸的是,這與TikTok軟件或其基礎推薦算法的任何新版本的源代碼編譯,部署和實現(xiàn)的完全可見性都相去甚遠。因為此交易的初衷是保護Tiktok美國用戶的數(shù)據(jù)安全,所以現(xiàn)在所謂對源代碼的完全可見性似乎有些跑偏,這使人們懷疑誰將從這種安排中受益。”
除了對安全可見性的質疑外,Tom還認為因為目前的三方交易程序缺乏(完整的)監(jiān)管鏈。在安全界,這是一個巨大的漏洞。
“監(jiān)管鏈”是指圍繞信息控制展開的時序事件。在執(zhí)法部門犯罪現(xiàn)場的證據(jù)處理中經常見到,但在日常生活中并不鮮見。例如當您在一家餐廳點了一瓶葡萄酒后,服務員會將密封的瓶子帶給您進行檢查,將瓶子打開,由您現(xiàn)場完成對樣品的最初嗅探和品嘗工作,瓶子永遠不會離開您的桌子或您的視線。
Tom認為Oracle的加入并不能形成完整的“監(jiān)管鏈”,Oracle是否可以絕對確定所檢查的源代碼與TikTok更新中已編譯并發(fā)布的生產環(huán)境代碼相同?在不完全了解實際開發(fā)過程的情況下,如何100%確定?TikTok代碼中引用的其他庫呢?Oracle可以確保對外部庫的函數(shù)調用與它已審查的函數(shù)相同嗎?在軟件開發(fā)過程中定期進行的增量代碼修訂又如何解決調試過程中發(fā)現(xiàn)的問題,進行了較小的更正呢?
“沒有這種級別的可見性和審查,Oracle將無法證明所檢查的Tiktok代碼是可信任的,并且其中沒有任何貓膩。”Tom指出:“雖然我同意甲骨文作為美國數(shù)據(jù)保管人是一個良好的開端,但這還遠遠不夠。Oracle需要知道數(shù)據(jù)在由軟件處理時會發(fā)生什么,并且該數(shù)據(jù)只能流向規(guī)定的地方。”
- ISC.AI 2025正式啟動:AI與安全協(xié)同進化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機制與技術
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術與應用白皮書
- 美國美中委員會發(fā)布DeepSeek調查報告
- 2024年中國網(wǎng)絡與信息法治建設回顧