0
安全研究人员在 TikTok 的基础架构中发现了多个漏洞,黑客可以利用漏洞进行潜在攻击,以此劫持用户账户操作视频或窃取其个人信息。
TikTok 是字节跳动旗下的一款社交媒体平台,它是抖音短视频的国际版。目前, TikTok 的 iOS 和 Android 应用程序在多个国家/地区上线,其主打内容是 3 到 60 秒的简短循环移动视频共享。
根据 Google Play 商店的统计数据,该平台的 Android 应用当前安装量超过 5 亿次,根据 Sensor Tower Store Intelligence 的估计,该平台在2019年11月在所有移动平台上的安装量均超过了 15 亿次。
然而, Check Point 研究人员在本周早些时候发布的一份报告中指出, TikTok 应用程序及其后端很容易受到攻击。
Check Point 产品漏洞研究主管 Oded Vanunu 称,数据无处不在,数据泄露的问题也正在成为一种隐患,诸如像 TikTok 这样的社交媒体应用程序非常容易受到漏洞的攻击,因为它们提供了良好的私人数据来源,并且其攻击难度远低于其他。
TikTok 账号系统易受攻击
TikTok 的 SMS 系统允许 Check Point 研究团队通过添加和删除视频来操纵帐户数据,通过将视频隐私设置从私有更改为公开来演示隐私侵害问题,并泄露个人用户数据,包括人名、电子邮件地址和生日。
报告显示,攻击者可能已通过 TikTok 的 SMS 系统利用这些漏洞来进行如下攻击行为:
上传未经授权的视频并删除用户的视频
将用户的视频从私人切换至公开
窃取敏感的个人数据
为了能够执行这些恶意行为,黑客可以假冒 TikTok 运营商将包含下载链接的钓鱼短信发送到任何用户的电话号码,从而允许他们注入并执行恶意代码。
此外,攻击者可以使用相同的策略将 TikTok 用户重定向到他们控制的 Web 服务器上,从而使黑客假冒受害者发送不必要的请求。
报告还发现,潜在的攻击者可能使用了以 tiktok.com 为幌子将受害者重定向到恶意网站的恶略攻击行为。
Oded Vanunu 称,通过重定向攻击黑客很可能在未经用户同意的情况下完成跨站点请求伪造( CSRF ),跨站点脚本( XSS )和敏感数据暴露攻击。
该安全问题已于 11 月下旬披露给字节跳动,该公司已在一个月内修复了漏洞。
TikTok 安全团队负责人 Luke Deshotels 称, TikTok 致力于保护用户数据。像许多组织一样,我们鼓励负责任的安全研究人员向我们秘密披露零日漏洞。在公开披露之前,所有报告的问题均已在 TikTok 应用程序的最新版本中进行了修补。
美国禁止士兵使用 TikTok
Check Point Research 的披露恰逢美国陆军、海军陆战队和空军等美国军事部门从政府发行智能手机禁令之后,其要求士兵放弃使用一切中国软件,因此 TikTok 应用程序也在其列。
陆军发言人罗宾·奥乔亚上校说:“这被认为是网络威胁。根据 Military.com 12月30日的报告,我们不允许在政府通讯设备上使用 TikTok 应用程序。”
在最新的指南建议中,国防部所有员工被提醒警惕自身设备中下载的应用程序,并时刻监视手机中是否存在异常和未经请求的文本等,一经发现应立即删除它们并卸载 TikTok 以规避任何公开个人信息的行为。
海军/海军陆战队内部网(NMCI)用户意识公告禁止TikTok
据路透社报道称,美国政府从 2017 年 11 月开始对 TikTok 所有者字节跳动收购美国社交媒体应用 Musical.ly 进行调查之后,还发表了一份声明,称其存在潜在的国家安全风险。
声明中提到,对 TikTok 进行的国家安全调查证实了参议员的担忧,即像 TikTok 之类的应用可能对数百万美国人构成严重风险,应受到更严格的审查。
TikTok 美国总经理 Vanessa Pappas 在公司新闻编辑室的多个帖子中回应了这些指控,称 TikTok 的所有美国用户数据都存储在美国,并在新加坡提供备份冗余。
Pappas 表示:“ TikTok 的数据中心完全位于中国境外。该公司拥有专门的技术团队,致力于遵守强大的网络安全策略以及数据隐私和安全实践。”
编译自:bleepingcomputer
雷锋网雷锋网雷锋网
雷峰网原创文章,未经授权禁止转载。详情见转载须知。