网络安全厂商 Check Point 旗下威胁情报部门 Check Point Research 今天揭露中国社群媒体抖音(TikTok)多项资安漏洞,包含允许攻击者操纵使用者账户内容等;抖音已发布修补程式。
Check Point Research 表示,抖音使用者以青少年和儿童为主,用来分享、储存自己及亲友的私人影片,有时也涵盖敏感内容。Check Point Research 发现,攻击者可以向使用者发送一则包含恶意连结的伪造讯息,一旦使用者点击这条恶意连结,攻击者便能控制抖音账户并进行各种恶意操作,例如删除影片、上传未经授权的影片以及将私人或隐藏影片公开等。
Check Point Research 也发现,抖音的子网域 https://ads.tiktok.com 很容易受到跨站指令码(XSS)攻击,这类攻击会将恶意网页程式码植入原本安全可信的网站中。Check Point 研究人员利用这项漏洞搜寻到使用者账户中个人资讯,包括个人电子信箱和生日。
Check Point Research 已向抖音开发人员揭露这次发现的漏洞,抖音也已发布修补程式,确保使用者可以安全使用。
Check Point 产品漏洞研究主管范努努(Oded Vanunu)表示,社群媒体应用程序极易遭到漏洞攻击,因为拥有大量的私人资料及大面积的攻击范围。攻击者正在花高成本、下大功夫向这些使用者量庞大的应用程序发起攻击,但大多数使用者仍认为自己使用的应用程序非常安全。
抖音安全团队负责人迪修特斯(Luke Deshotels)说,抖音高度重视使用者资料安全,并鼓励负责的安全研究人员向抖音秘密揭发零时差漏洞(指尚未被修补的漏洞)。在公开漏洞之前,Check Point 已确认最新版抖音修复这次所有发现的问题。
根据纽约时报引述 App 分析公司 Sensor Tower 的数据,过去一年抖音下载次数超过 7.5 亿次,比 Facebook、Instagram、YouTube、Snapchat 等平台多出数千万次。然而在美国陆军、海军及陆战队以抖音构成安全威胁为由,相继禁止在-公发手机使用抖音后,美国空军及海岸防卫队也跟进禁用。
(作者:吴家豪;首图来源:shutterstock)
延伸阅读:
- 美军扩大抖音限令,陆战队跟进禁用
- 威胁网络安全!美国海军要求官兵禁用抖音
