【创科广场】社交应用再现漏洞 抖音遭揭暗藏危机

较早前发现WhatsApp漏洞的Check Point威胁情报部门 Check Point Research，再发现TikTok（抖音国际版）的多个漏洞，抖音在国际广泛受欢迎，而抖音国际版多个漏洞，有机会让攻击者操纵用户帐户内容，提取这些帐户内的个人机密资料。

TikTok用户群体以青少年和儿童为主，使用TikTok分享和储存自己及亲人的私人影片（影片内容有时非常敏感）。

研究发现，网络攻击者可向用户发送一条包含恶意连结的伪造短讯。一旦用户点击这条恶意连结，攻击者便能控制TikTok帐户，并进行各种恶意操作，例如删除影片、上传未经授权的影片，以及公开私人或「隐藏」影片等。

疑泄露个人资料

研究还发现，TikTok子域 https://ads.tiktok.com 很易受XSS攻击，这种攻击通过注入恶意程式脚本，到原本以为是安全可信的网站中展开攻击。

Check Point研究人员利用这一个漏洞，检索用户帐户中储存个人资料，包括个人电子邮件地址和出生日期。

Check Point Research向TikTok开发人员披露了研究发现漏洞，后者已发布了更新，确保其用户可继续安全使用TikTok。

Check Point产品漏洞研究主管Oded Vanunu 表示：「数据无处不在，数据泄漏频频发生，我们最新研究显示，一些最受欢迎应用，也是劫数难逃。社交媒体应用程式极易遭到漏洞攻击，因为拥有大量私人数据，以及较大攻击面。攻击者正在花大成本、下大功夫向这些体量庞大的应用，发起攻击。然而，大多数用户还认为，自己正使用的应用非常安全。」

TikTok安全团队Luke Deshotels博士表示：「TikTok高度重视用户数据安全。与许多企业一样，我们鼓励负责任安全研究人员，向我们秘密披露零漏洞。公开漏洞之前，CheckPoint已确认所有报告的问题，都已在最新版TikTok中修复。希望是次风险的成功化解，能促进未来更多类似的安全合作。」

最新版已修复问题

TikTok覆盖全球150多个国家和地区，提供75种语言，用户数量超过10亿。TikTok也是下载次数最多应用之一。截至2019年10月，TikTok登上美国应用下载量排行榜首位，成为首次创造记录的中国手机应用。

全文刊于《星岛日报》「创科广场」