星岛日报

【创科广场】社交应用再现漏洞 抖音遭揭暗藏危机

2020-01-17 10:27

较早前发现WhatsApp漏洞的Check Point威胁情报部门 Check Point Research,再发现TikTok(抖音国际版)的多个漏洞,抖音在国际广泛受欢迎,而抖音国际版多个漏洞,有机会让攻击者操纵用户帐户内容,提取这些帐户内的个人机密资料。

TikTok用户群体以青少年和儿童为主,使用TikTok分享和储存自己及亲人的私人影片(影片内容有时非常敏感)。

研究发现,网络攻击者可向用户发送一条包含恶意连结的伪造短讯。一旦用户点击这条恶意连结,攻击者便能控制TikTok帐户,并进行各种恶意操作,例如删除影片、上传未经授权的影片,以及公开私人或「隐藏」影片等。

疑泄露个人资料

研究还发现,TikTok子域 https://ads.tiktok.com 很易受XSS攻击,这种攻击通过注入恶意程式脚本,到原本以为是安全可信的网站中展开攻击。

Check Point研究人员利用这一个漏洞,检索用户帐户中储存个人资料,包括个人电子邮件地址和出生日期。

Check Point Research向TikTok开发人员披露了研究发现漏洞,后者已发布了更新,确保其用户可继续安全使用TikTok。

Check Point产品漏洞研究主管Oded Vanunu 表示:「数据无处不在,数据泄漏频频发生,我们最新研究显示,一些最受欢迎应用,也是劫数难逃。社交媒体应用程式极易遭到漏洞攻击,因为拥有大量私人数据,以及较大攻击面。攻击者正在花大成本、下大功夫向这些体量庞大的应用,发起攻击。然而,大多数用户还认为,自己正使用的应用非常安全。」

TikTok安全团队Luke Deshotels博士表示:「TikTok高度重视用户数据安全。与许多企业一样,我们鼓励负责任安全研究人员,向我们秘密披露零漏洞。公开漏洞之前,CheckPoint已确认所有报告的问题,都已在最新版TikTok中修复。希望是次风险的成功化解,能促进未来更多类似的安全合作。」

最新版已修复问题

TikTok覆盖全球150多个国家和地区,提供75种语言,用户数量超过10亿。TikTok也是下载次数最多应用之一。截至2019年10月,TikTok登上美国应用下载量排行榜首位,成为首次创造记录的中国手机应用。

全文刊于《星岛日报》「创科广场」

最新回应

關鍵字

热门文章