較早前發現WhatsApp漏洞的Check Point威脅情報部門 Check Point Research,再發現TikTok(抖音國際版)的多個漏洞,抖音在國際廣泛受歡迎,而抖音國際版多個漏洞,有機會讓攻擊者操縱用戶帳戶內容,提取這些帳戶內的個人機密資料。

TikTok用戶群體以青少年和兒童為主,使用TikTok分享和儲存自己及親人的私人影片(影片內容有時非常敏感)。

研究發現,網絡攻擊者可向用戶發送一條包含惡意連結的偽造短訊。一旦用戶點擊這條惡意連結,攻擊者便能控制TikTok帳戶,並進行各種惡意操作,例如刪除影片、上傳未經授權的影片,以及公開私人或「隱藏」影片等。

疑泄露個人資料

研究還發現,TikTok子域 https://ads.tiktok.com 很易受XSS攻擊,這種攻擊通過注入惡意程式腳本,到原本以為是安全可信的網站中展開攻擊。

Check Point研究人員利用這一個漏洞,檢索用戶帳戶中儲存個人資料,包括個人電子郵件地址和出生日期。

Check Point Research向TikTok開發人員披露了研究發現漏洞,後者已發布了更新,確保其用戶可繼續安全使用TikTok。

Check Point產品漏洞研究主管Oded Vanunu 表示:「數據無處不在,數據泄漏頻頻發生,我們最新研究顯示,一些最受歡迎應用,也是劫數難逃。社交媒體應用程式極易遭到漏洞攻擊,因為擁有大量私人數據,以及較大攻擊面。攻擊者正在花大成本、下大功夫向這些體量龐大的應用,發起攻擊。然而,大多數用戶還認為,自己正使用的應用非常安全。」

TikTok安全團隊Luke Deshotels博士表示:「TikTok高度重視用戶數據安全。與許多企業一樣,我們鼓勵負責任安全研究人員,向我們秘密披露零漏洞。公開漏洞之前,CheckPoint已確認所有報告的問題,都已在最新版TikTok中修復。希望是次風險的成功化解,能促進未來更多類似的安全合作。」

最新版已修復問題

TikTok覆蓋全球150多個國家和地區,提供75種語言,用戶數量超過10億。TikTok也是下載次數最多應用之一。截至2019年10月,TikTok登上美國應用下載量排行榜首位,成為首次創造記錄的中國手機應用。

全文刊於《星島日報》「創科廣場」