TikTok修復(fù)了可能讓黑客操縱賬戶 訪問個(gè)人數(shù)據(jù)的安全缺陷

全球最受歡迎的移動(dòng)應(yīng)用程序之一存在多個(gè)漏洞，這些漏洞可能使攻擊者得以操縱用戶賬戶，暴露包括姓名、電子郵件地址和出生日期在內(nèi)的個(gè)人數(shù)據(jù)。

檢查點(diǎn)的研究人員發(fā)現(xiàn)，視頻分享和社交網(wǎng)絡(luò)應(yīng)用TikTok的安全漏洞可能會(huì)使其用戶的隱私處于危險(xiǎn)之中。全球超過10億安卓和iPhone用戶下載了TikTok。

雖然研究人員不能確定這些安全漏洞是否被利用了，但Check Point已經(jīng)與TikTok合作來修復(fù)這些漏洞，并確保它們現(xiàn)在不會(huì)被黑客利用。

參見:IT pro關(guān)于5G技術(shù)的發(fā)展和影響的指南(免費(fèi)PDF)

研究人員發(fā)現(xiàn)的第一個(gè)漏洞是TikTok應(yīng)用程序的短信功能。為了幫助用戶安裝該應(yīng)用程序，該網(wǎng)站允許用戶向自己發(fā)送一條帶有下載鏈接的短信。然而，人們發(fā)現(xiàn)攻擊者可以利用這一點(diǎn)進(jìn)行惡意攻擊。

這種攻擊要求攻擊者知道目標(biāo)受害者的電話號(hào)碼;這可能是通過已經(jīng)以某種方式連接到他們，通過社會(huì)工程或網(wǎng)絡(luò)釣魚，或從被盜或公開的號(hào)碼列表中獲取。這次攻擊是匿名的，沒有透露攻擊者的身份。

通過編輯下載url參數(shù)，攻擊者可以發(fā)送一個(gè)欺騙的SMS消息，其中包含攻擊者擁有的惡意鏈接。

然而，這并不是研究人員發(fā)現(xiàn)的唯一漏洞，他們發(fā)現(xiàn)TikTok官方網(wǎng)站的TikTok Ads子域容易受到跨站點(diǎn)腳本攻擊(XSS)，允許攻擊者注入惡意腳本，通過可信域攻擊用戶。

研究人員發(fā)現(xiàn)，在使用TikTok廣告幫助中心的搜索功能時(shí)，可以通過在搜索結(jié)果的地址中輸入代碼來操縱這個(gè)域。

通過結(jié)合這些，攻擊者就有可能操縱受害者的TikTok賬戶。他們可以刪除視頻，可以將私人視頻公開或發(fā)布自己的視頻。

然而，賬戶操縱并不是這些漏洞的唯一潛在風(fēng)險(xiǎn)，因?yàn)檠芯咳藛T發(fā)現(xiàn)，可以將SMS和XSS漏洞結(jié)合起來，檢索不供公眾使用的敏感信息，包括他們的姓名、電子郵件地址和出生日期。

“社交媒體應(yīng)用程序極易受到攻擊，因?yàn)樗鼈兲峁┝肆己玫膫€(gè)人、私人數(shù)據(jù)來源，并提供了一個(gè)巨大的攻擊面。惡意行為者花費(fèi)大量金錢和時(shí)間試圖滲透這些非常受歡迎的應(yīng)用程序——然而大多數(shù)用戶都認(rèn)為他們受到了他們正在使用的應(yīng)用程序的保護(hù)，”Check Point的產(chǎn)品漏洞研究負(fù)責(zé)人Oded Vanunu說。

然而，在去年末發(fā)現(xiàn)這些漏洞后，Check Point向TikTok的母公司字節(jié)跳動(dòng)(ByteDance)披露了這些漏洞。字節(jié)跳動(dòng)工作迅速，并部署了更新來修補(bǔ)安全漏洞。

參見:網(wǎng)絡(luò)安全制勝戰(zhàn)略(ZDNet特別報(bào)道)

TikTok向ZDNet證實(shí)，他們已經(jīng)與Check Point合作解決了這個(gè)問題。

TikTok致力于保護(hù)用戶數(shù)據(jù)。與許多組織一樣，我們鼓勵(lì)負(fù)責(zé)任的安全研究人員私下向我們披露零日漏洞。

他補(bǔ)充說:“在公開披露之前，檢查點(diǎn)同意所有報(bào)告的問題都在我們的應(yīng)用程序的最新版本中打了補(bǔ)丁。我們希望這個(gè)成功的解決方案將鼓勵(lì)未來與安全研究人員的合作?！?/p>

為了防止成為利用研究人員發(fā)現(xiàn)的漏洞進(jìn)行攻擊的受害者，用戶應(yīng)該將他們的TikTok應(yīng)用程序更新到最新版本(如果他們還沒有這樣做的話)。