Wall Street Journal har undersökt flera versioner av Tiktoks Android-app släppta mellan 2018 och 2020 för att se vilka sorters uppgifter om användarna den laddar upp till företagets servrar.

Resultaten är överlag att appen beter sig ungefär som de flesta appar, med ett undantag. Fram till en uppdatering i november 2019 spårade Tiktok Android-användare via telefonernas mac-adress, en fast hårdvaruadress som identifierar enskilda nätverkskort.

Dessa adresser ändras sällan eller aldrig och det är alltså ett sätt för utvecklare att kunna kringgå spårningsbegränsningar för att permanent spåra användare. Google tillåter inte appar att läsa mac-adressen, men Tiktok-appen utnyttjade en känd säkerhetsbrist för att ändå samla in den.

Företaget säger till Wall Street Journal att den nuvarande versionen av Tiktok inte samlar in mac-adresser, men kommenterar inte hur appen brukade göra det.

När IOS och Android var nya hade utvecklare tillgång till både unika hårdvaru-id:n och mac-adresser men allt eftersom marknaden utvecklades började Apple och Google ta bort dessa och ersätta dem med unika id-nummer som kan nollställas och inte har någon koppling till själva hårdvaran.