【創科廣場】社交應用再現漏洞 抖音遭揭暗藏危機
01月17日
TikTok用戶群體以青少年和兒童為主,使用TikTok分享和儲存自己及親人的私人影片(影片內容有時非常敏感)。
研究發現,網絡攻擊者可向用戶發送一條包含惡意連結的偽造短訊。一旦用戶點擊這條惡意連結,攻擊者便能控制TikTok帳戶,並進行各種惡意操作,例如刪除影片、上傳未經授權的影片,以及公開私人或「隱藏」影片等。
疑泄露個人資料
研究還發現,TikTok子域 https://ads.tiktok.com 很易受XSS攻擊,這種攻擊通過注入惡意程式腳本,到原本以為是安全可信的網站中展開攻擊。
Check Point研究人員利用這一個漏洞,檢索用戶帳戶中儲存個人資料,包括個人電子郵件地址和出生日期。
Check Point Research向TikTok開發人員披露了研究發現漏洞,後者已發布了更新,確保其用戶可繼續安全使用TikTok。
Check Point產品漏洞研究主管Oded Vanunu 表示:「數據無處不在,數據泄漏頻頻發生,我們最新研究顯示,一些最受歡迎應用,也是劫數難逃。社交媒體應用程式極易遭到漏洞攻擊,因為擁有大量私人數據,以及較大攻擊面。攻擊者正在花大成本、下大功夫向這些體量龐大的應用,發起攻擊。然而,大多數用戶還認為,自己正使用的應用非常安全。」
TikTok安全團隊Luke Deshotels博士表示:「TikTok高度重視用戶數據安全。與許多企業一樣,我們鼓勵負責任安全研究人員,向我們秘密披露零漏洞。公開漏洞之前,CheckPoint已確認所有報告的問題,都已在最新版TikTok中修復。希望是次風險的成功化解,能促進未來更多類似的安全合作。」
最新版已修復問題
TikTok覆蓋全球150多個國家和地區,提供75種語言,用戶數量超過10億。TikTok也是下載次數最多應用之一。截至2019年10月,TikTok登上美國應用下載量排行榜首位,成為首次創造記錄的中國手機應用。
全文刊於《星島日報》「創科廣場」