TikTok修復了可能讓黑客操縱賬戶 訪問個人數(shù)據(jù)的安全缺陷

全球最受歡迎的移動應用程序之一存在多個漏洞，這些漏洞可能使攻擊者得以操縱用戶賬戶，暴露包括姓名、電子郵件地址和出生日期在內(nèi)的個人數(shù)據(jù)。

檢查點的研究人員發(fā)現(xiàn)，視頻分享和社交網(wǎng)絡應用TikTok的安全漏洞可能會使其用戶的隱私處于危險之中。全球超過10億安卓和iPhone用戶下載了TikTok。

雖然研究人員不能確定這些安全漏洞是否被利用了，但Check Point已經(jīng)與TikTok合作來修復這些漏洞，并確保它們現(xiàn)在不會被黑客利用。

參見:IT pro關于5G技術的發(fā)展和影響的指南(免費PDF)

研究人員發(fā)現(xiàn)的第一個漏洞是TikTok應用程序的短信功能。為了幫助用戶安裝該應用程序，該網(wǎng)站允許用戶向自己發(fā)送一條帶有下載鏈接的短信。然而，人們發(fā)現(xiàn)攻擊者可以利用這一點進行惡意攻擊。

這種攻擊要求攻擊者知道目標受害者的電話號碼;這可能是通過已經(jīng)以某種方式連接到他們，通過社會工程或網(wǎng)絡釣魚，或從被盜或公開的號碼列表中獲取。這次攻擊是匿名的，沒有透露攻擊者的身份。

通過編輯下載url參數(shù)，攻擊者可以發(fā)送一個欺騙的SMS消息，其中包含攻擊者擁有的惡意鏈接。

然而，這并不是研究人員發(fā)現(xiàn)的唯一漏洞，他們發(fā)現(xiàn)TikTok官方網(wǎng)站的TikTok Ads子域容易受到跨站點腳本攻擊(XSS)，允許攻擊者注入惡意腳本，通過可信域攻擊用戶。

研究人員發(fā)現(xiàn)，在使用TikTok廣告幫助中心的搜索功能時，可以通過在搜索結果的地址中輸入代碼來操縱這個域。

通過結合這些，攻擊者就有可能操縱受害者的TikTok賬戶。他們可以刪除視頻，可以將私人視頻公開或發(fā)布自己的視頻。

然而，賬戶操縱并不是這些漏洞的唯一潛在風險，因為研究人員發(fā)現(xiàn)，可以將SMS和XSS漏洞結合起來，檢索不供公眾使用的敏感信息，包括他們的姓名、電子郵件地址和出生日期。

“社交媒體應用程序極易受到攻擊，因為它們提供了良好的個人、私人數(shù)據(jù)來源，并提供了一個巨大的攻擊面。惡意行為者花費大量金錢和時間試圖滲透這些非常受歡迎的應用程序——然而大多數(shù)用戶都認為他們受到了他們正在使用的應用程序的保護，”Check Point的產(chǎn)品漏洞研究負責人Oded Vanunu說。

然而，在去年末發(fā)現(xiàn)這些漏洞后，Check Point向TikTok的母公司字節(jié)跳動(ByteDance)披露了這些漏洞。字節(jié)跳動工作迅速，并部署了更新來修補安全漏洞。

參見:網(wǎng)絡安全制勝戰(zhàn)略(ZDNet特別報道)

TikTok向ZDNet證實，他們已經(jīng)與Check Point合作解決了這個問題。

TikTok致力于保護用戶數(shù)據(jù)。與許多組織一樣，我們鼓勵負責任的安全研究人員私下向我們披露零日漏洞。

他補充說:“在公開披露之前，檢查點同意所有報告的問題都在我們的應用程序的最新版本中打了補丁。我們希望這個成功的解決方案將鼓勵未來與安全研究人員的合作?！?/p>

為了防止成為利用研究人員發(fā)現(xiàn)的漏洞進行攻擊的受害者，用戶應該將他們的TikTok應用程序更新到最新版本(如果他們還沒有這樣做的話)。