安全企业披露TikTok漏洞:攻击者能通过恶意连接,操纵用户账户并公开私人视频

抖音TikTok是当红社群媒体,2019年下载次数约7.5亿次,比FB、IG等还高;但TikTok近期被网络安全厂商发现安全漏洞,让攻击者控制TikTok账户,进行公开私人视频等恶意操作。

虽然有中国背景的TikTok更让人有疑虑,但所有的社群媒体都容易遭到漏洞攻击;美军禁止使用TikTok,那我们又该如何防备漏洞?

网络安全厂商Check Point旗下威胁情报部门Check Point Research近日披露中国社群媒体抖音(TikTok)多项安全漏洞,包含允许攻击者操纵用户账户内容等;抖音已发布修补程序。

TikTok有安全漏洞,攻击者可控制TikTok账户并恶意操作

Check Point Research表示,抖音用户以青少年和儿童为主,用来分享、存储自己及亲友的私人视频,有时也涵盖敏感内容。Check Point Research发现,攻击者可以向用户发送一则包含恶意连接的伪造消息,一旦用户点击这条恶意连接,攻击者便能控制抖音账户并进行各种恶意操作,例如删除视频、上传未经授权的视频以及将私人或隐藏视频公开等。

Check Point Research也发现,抖音的子域名https://ads.tiktok.com很容易受到跨站脚本(XSS)攻击,这类攻击会将恶意网页程序代码植入原本安全可信的网站中。Check Point研究人员利用这项漏洞搜索到用户账户中个人信息,包括个人电子邮箱和生日。

Check Point Research已向抖音开发人员披露这次发现的漏洞,抖音也已发布修补程序,确保用户可以安全使用。

社群媒体应用程序易遭漏洞攻击,美军禁止在公发手机安装TikTok

Check Point产品漏洞研究主管范努努(Oded Vanunu)表示,社群媒体应用程序极易遭到漏洞攻击,因为拥有大量的私人数据及大面积的攻击范围。攻击者正在花高成本、下大功夫向这些用户量庞大的应用程序发起攻击,但大多数用户仍认为自己使用的应用程序非常安全。

抖音安全团队负责人迪修特斯(Luke Deshotels)说,抖音高度重视用户数据安全,并鼓励负责的安全研究人员向抖音秘密揭发零时差漏洞(指尚未被修补的漏洞)。在公开漏洞之前,Check Point已确认最新版抖音修复这次所有发现的问题。

根据纽约时报引述App分析公司Sensor Tower的数据,过去一年抖音下载次数超过7.5亿次,比脸书(Facebook)、Instagram、YouTube、Snapchat等平台多出数千万次。然而在美国陆军、海军及陆战队以抖音构成安全威胁为由,相继禁止在政府公发手机使用抖音后,美国空军及海岸防卫队也跟进禁用。

发表评论