安全企业Check Point Research本周披露了一个藏匿在短影音程序TikTok中的安全漏洞,将允许黑客访问用户的个人文件资料,包括电话号码在内,不过TikTok母公司字节跳动已修补了该安全漏洞。
Check Point解释,TikTok去年4月就启动了私有的漏洞挖掘项目,接着美国总统川普(Donald Trump)在8月签署行政命令,以TikTok大量搜集美国人资料为由准备封锁它,之后TikTok在10月与HackerOne合作扩大漏洞挖掘项目,使得该团队决定针对TikTok如何处理用户资料展开调查。
很快地,研究人员便发现TikTok支持通讯录同步功能,若程序用户同步了手机的通讯录,便更容易于TikTok上找到亲友,简单地说,该功能可用来连接用户的个人文件资料与电话号码。不过,倘若被开采,该漏洞只会影响那些选择在账号中填入电话号码的TikTok用户,或是以电话号码登录的用户,在黑客握有用户个人资料及电话号码时,就能调查更多有关用户的信息。
Check Point串联并开采了TikTok的多个安全漏洞,以自动大规模地上传与同步通讯录,进而打造内置电话号码的用户数据库,造成TikTok用户的资料外泄。
TikTok不仅全球下载量已超过20亿,也已跻身为每月10亿活跃用户俱乐部的成员,与脸书、Instagram、Messenger、WhatsApp、YouTube及WeChat等服务并驾其驱。