安全研究人員在 TikTok 的基礎架構中發現了多個漏洞,黑客可以利用漏洞進行潛在攻擊,以此劫持用戶賬戶操作視頻或竊取其個人信息。
TikTok 是字節跳動旗下的一款社交媒體平臺,它是抖音短視頻的國際版。目前, TikTok 的 iOS 和 Android 應用程序在多個國家/地區上線,其主打內容是 3 到 60 秒的簡短循環移動視頻共享。
根據 Google Play 商店的統計數據,該平臺的 Android 應用當前安裝量超過 5 億次,根據 Sensor Tower Store Intelligence 的估計,該平臺在2019年11月在所有移動平臺上的安裝量均超過了 15 億次。
然而, Check Point 研究人員在本週早些時候發佈的一份報告中指出, TikTok 應用程序及其後端很容易受到攻擊。
Check Point 產品漏洞研究主管 Oded Vanunu 稱,數據無處不在,數據洩露的問題也正在成為一種隱患,諸如像 TikTok 這樣的社交媒體應用程序非常容易受到漏洞的攻擊,因為它們提供了良好的私人數據來源,並且其攻擊難度遠低於其他。
TikTok 賬號系統易受攻擊
TikTok 的 SMS 系統允許 Check Point 研究團隊通過添加和刪除視頻來操縱帳戶數據,通過將視頻隱私設置從私有更改為公開來演示隱私侵害問題,並洩露個人用戶數據,包括人名、電子郵件地址和生日。
報告顯示,攻擊者可能已通過 TikTok 的 SMS 系統利用這些漏洞來進行如下攻擊行為:
將用戶的視頻從私人切換至公開
竊取敏感的個人數據
為了能夠執行這些惡意行為,黑客可以假冒 TikTok 運營商將包含下載鏈接的釣魚短信發送到任何用戶的電話號碼,從而允許他們注入並執行惡意代碼。
此外,攻擊者可以使用相同的策略將 TikTok 用戶重定向到他們控制的 Web 服務器上,從而使黑客假冒受害者發送不必要的請求。
報告還發現,潛在的攻擊者可能使用了以 tiktok.com 為幌子將受害者重定向到惡意網站的惡略攻擊行為。
Oded Vanunu 稱,通過重定向攻擊黑客很可能在未經用戶同意的情況下完成跨站點請求偽造( CSRF ),跨站點腳本( XSS )和敏感數據暴露攻擊。
該安全問題已於 11 月下旬披露給字節跳動,該公司已在一個月內修復了漏洞。
TikTok 安全團隊負責人 Luke Deshotels 稱, TikTok 致力於保護用戶數據。像許多組織一樣,我們鼓勵負責任的安全研究人員向我們秘密披露零日漏洞。在公開披露之前,所有報告的問題均已在 TikTok 應用程序的最新版本中進行了修補。
美國禁止士兵使用 TikTok
Check Point Research 的披露恰逢美國陸軍、海軍陸戰隊和空軍等美國軍事部門從政府發行智能手機禁令之後,其要求士兵放棄使用一切中國軟件,因此 TikTok 應用程序也在其列。
陸軍發言人羅賓·奧喬亞上校說:“這被認為是網絡威脅。根據 Military.com 12月30日的報告,我們不允許在政府通訊設備上使用 TikTok 應用程序。”
在最新的指南建議中,國防部所有員工被提醒警惕自身設備中下載的應用程序,並時刻監視手機中是否存在異常和未經請求的文本等,一經發現應立即刪除它們並卸載 TikTok 以規避任何公開個人信息的行為。
海軍/海軍陸戰隊內部網(NMCI)用戶意識公告禁止TikTok
據路透社報道稱,美國政府從 2017 年 11 月開始對 TikTok 所有者字節跳動收購美國社交媒體應用 Musical.ly 進行調查之後,還發表了一份聲明,稱其存在潛在的國家安全風險。
聲明中提到,對 TikTok 進行的國家安全調查證實了參議員的擔憂,即像 TikTok 之類的應用可能對數百萬美國人構成嚴重風險,應受到更嚴格的審查。
TikTok 美國總經理 Vanessa Pappas 在公司新聞編輯室的多個帖子中回應了這些指控,稱 TikTok 的所有美國用戶數據都存儲在美國,並在新加坡提供備份冗餘。
Pappas 表示:“ TikTok 的數據中心完全位於中國境外。該公司擁有專門的技術團隊,致力於遵守強大的網絡安全策略以及數據隱私和安全實踐。”
編譯自:bleepingcomputer
雷鋒網雷鋒網雷鋒網
閱讀更多 雷鋒網 的文章
