【創科廣場】社交應用再現漏洞 抖音遭揭暗藏危機

較早前發現WhatsApp漏洞的Check Point威脅情報部門 Check Point Research，再發現TikTok（抖音國際版）的多個漏洞，抖音在國際廣泛受歡迎，而抖音國際版多個漏洞，有機會讓攻擊者操縱用戶帳戶內容，提取這些帳戶內的個人機密資料。

TikTok用戶群體以青少年和兒童為主，使用TikTok分享和儲存自己及親人的私人影片（影片內容有時非常敏感）。

研究發現，網絡攻擊者可向用戶發送一條包含惡意連結的偽造短訊。一旦用戶點擊這條惡意連結，攻擊者便能控制TikTok帳戶，並進行各種惡意操作，例如刪除影片、上傳未經授權的影片，以及公開私人或「隱藏」影片等。

疑泄露個人資料

研究還發現，TikTok子域 https://ads.tiktok.com 很易受XSS攻擊，這種攻擊通過注入惡意程式腳本，到原本以為是安全可信的網站中展開攻擊。

Check Point研究人員利用這一個漏洞，檢索用戶帳戶中儲存個人資料，包括個人電子郵件地址和出生日期。

Check Point Research向TikTok開發人員披露了研究發現漏洞，後者已發布了更新，確保其用戶可繼續安全使用TikTok。

Check Point產品漏洞研究主管Oded Vanunu 表示：「數據無處不在，數據泄漏頻頻發生，我們最新研究顯示，一些最受歡迎應用，也是劫數難逃。社交媒體應用程式極易遭到漏洞攻擊，因為擁有大量私人數據，以及較大攻擊面。攻擊者正在花大成本、下大功夫向這些體量龐大的應用，發起攻擊。然而，大多數用戶還認為，自己正使用的應用非常安全。」

TikTok安全團隊Luke Deshotels博士表示：「TikTok高度重視用戶數據安全。與許多企業一樣，我們鼓勵負責任安全研究人員，向我們秘密披露零漏洞。公開漏洞之前，CheckPoint已確認所有報告的問題，都已在最新版TikTok中修復。希望是次風險的成功化解，能促進未來更多類似的安全合作。」

最新版已修復問題

TikTok覆蓋全球150多個國家和地區，提供75種語言，用戶數量超過10億。TikTok也是下載次數最多應用之一。截至2019年10月，TikTok登上美國應用下載量排行榜首位，成為首次創造記錄的中國手機應用。

全文刊於《星島日報》「創科廣場」