計世網

Check Point Research 揭露抖音國際版 TikTok 多個漏洞
來源:計算機世界
2020-01-09
他們在 TikTok(抖音國際版)中發現多個漏洞,這些漏洞允許攻擊者操縱用戶帳戶的內容,甚至提取保存在這些帳戶上的個人機密信息。?

 


  2020年1月9日,全球網絡安全解決方案提供商 Check Point 軟件技術有限公司威脅情報部門Check Point Research 今天透露,他們在 TikTok(抖音國際版)中發現多個漏洞,這些漏洞允許攻擊者操縱用戶帳戶的內容,甚至提取保存在這些帳戶上的個人機密信息。 

  TikTok 的用戶群體主要是青少年和兒童,他們使用 TikTok 分享和保存自己及親人的私人視頻(視頻內容有時非常敏感)。研究發現,攻擊者可以向用戶發送一條包含惡意鏈接的偽造短信。一旦用戶點擊這條惡意鏈接,攻擊者便能夠控制其 TikTok 帳戶并實施各種惡意操作,比如刪除視頻、上傳未經授權的視頻以及將私人或"隱藏"視頻公開等。 

  研究還發現,Tiktok 的子域 https://ads.tiktok.com 很容易受到 XSS 攻擊,這種攻擊是通過將惡意腳本注入到原本安全可信的網站中實施的。Check Point 研究人員利用這一漏洞檢索到了用戶帳戶中保存的個人信息,包括個人電子郵件地址和生日。 

  Check Point Research 向 TikTok 開發人員披露了這項研究發現的漏洞,后者已負責任地部署了補丁,以確保其用戶可以繼續安全地使用 TikTok。

  Check Point 產品漏洞研究主管 Oded Vanunu 表示:"數據無處不在,數據泄露頻頻發生,我們的最新研究表明,一些最受歡迎的應用也在劫難逃。"社交媒體應用極易遭到漏洞攻擊,因為它們擁有大量的私人數據以及較大的攻擊面。攻擊者正在花大成本、下大功夫向這些體量龐大的應用發起攻擊。然而,大多數用戶還認為自己使用的應用非常安全。" 

  TikTok 安全團隊 Luke Deshotels 博士表示:"TikTok 高度重視用戶數據安全。同許多企業一樣,我們鼓勵負責任的安全研究人員向我們秘密披露零日漏洞。在公開漏洞之前,CheckPoint 已確認所有報告的問題都已在最新版 TikTok 中進行了修復。希望此次風險的成功化解能夠促進未來更多類似安全合作。"

  TikTok 覆蓋全球 150 多個國家和地區,提供 75 種語言,用戶數量超過 10 億。毫無疑問,TikTok 是下載次數最多的應用之一。截至 2019 年 10 月,TikTok 登頂美國應用下載量排行榜,成為首個創造這一記錄的中國應用。 

 

責任編輯:劉沙