安全研究人員在 TikTok 的基礎(chǔ)架構(gòu)中發(fā)現(xiàn)了多個(gè)漏洞，黑客可以利用漏洞進(jìn)行潛在攻擊，以此劫持用戶賬戶操作視頻或竊取其個(gè)人信息。

TikTok 是字節(jié)跳動(dòng)旗下的一款社交媒體平臺(tái)，它是抖音短視頻的國(guó)際版。目前， TikTok 的 iOS 和 Android 應(yīng)用程序在多個(gè)國(guó)家/地區(qū)上線，其主打內(nèi)容是 3 到 60 秒的簡(jiǎn)短循環(huán)移動(dòng)視頻共享。

根據(jù) Google Play 商店的統(tǒng)計(jì)數(shù)據(jù)，該平臺(tái)的 Android 應(yīng)用當(dāng)前安裝量超過(guò) 5 億次，根據(jù) Sensor Tower Store Intelligence 的估計(jì)，該平臺(tái)在2019年11月在所有移動(dòng)平臺(tái)上的安裝量均超過(guò)了 15 億次。

然而， Check Point 研究人員在本周早些時(shí)候發(fā)布的一份報(bào)告中指出， TikTok 應(yīng)用程序及其后端很容易受到攻擊。

Check Point 產(chǎn)品漏洞研究主管 Oded Vanunu 稱，數(shù)據(jù)無(wú)處不在，數(shù)據(jù)泄露的問(wèn)題也正在成為一種隱患，諸如像 TikTok 這樣的社交媒體應(yīng)用程序非常容易受到漏洞的攻擊，因?yàn)樗鼈兲峁┝肆己玫乃饺藬?shù)據(jù)來(lái)源，并且其攻擊難度遠(yuǎn)低于其他。

TikTok 賬號(hào)系統(tǒng)易受攻擊

TikTok 的 SMS 系統(tǒng)允許 Check Point 研究團(tuán)隊(duì)通過(guò)添加和刪除視頻來(lái)操縱帳戶數(shù)據(jù)，通過(guò)將視頻隱私設(shè)置從私有更改為公開(kāi)來(lái)演示隱私侵害問(wèn)題，并泄露個(gè)人用戶數(shù)據(jù)，包括人名、電子郵件地址和生日。

報(bào)告顯示，攻擊者可能已通過(guò) TikTok 的 SMS 系統(tǒng)利用這些漏洞來(lái)進(jìn)行如下攻擊行為：

上傳未經(jīng)授權(quán)的視頻并刪除用戶的視頻

將用戶的視頻從私人切換至公開(kāi)

竊取敏感的個(gè)人數(shù)據(jù)

為了能夠執(zhí)行這些惡意行為，黑客可以假冒 TikTok 運(yùn)營(yíng)商將包含下載鏈接的釣魚(yú)短信發(fā)送到任何用戶的電話號(hào)碼，從而允許他們注入并執(zhí)行惡意代碼。

此外，攻擊者可以使用相同的策略將 TikTok 用戶重定向到他們控制的 Web 服務(wù)器上，從而使黑客假冒受害者發(fā)送不必要的請(qǐng)求。

報(bào)告還發(fā)現(xiàn)，潛在的攻擊者可能使用了以 tiktok.com 為幌子將受害者重定向到惡意網(wǎng)站的惡略攻擊行為。

Oded Vanunu 稱，通過(guò)重定向攻擊黑客很可能在未經(jīng)用戶同意的情況下完成跨站點(diǎn)請(qǐng)求偽造（ CSRF ），跨站點(diǎn)腳本（ XSS ）和敏感數(shù)據(jù)暴露攻擊。

該安全問(wèn)題已于 11 月下旬披露給字節(jié)跳動(dòng)，該公司已在一個(gè)月內(nèi)修復(fù)了漏洞。

TikTok 安全團(tuán)隊(duì)負(fù)責(zé)人 Luke Deshotels 稱， TikTok 致力于保護(hù)用戶數(shù)據(jù)。像許多組織一樣，我們鼓勵(lì)負(fù)責(zé)任的安全研究人員向我們秘密披露零日漏洞。在公開(kāi)披露之前，所有報(bào)告的問(wèn)題均已在 TikTok 應(yīng)用程序的最新版本中進(jìn)行了修補(bǔ)。

美國(guó)禁止士兵使用 TikTok

Check Point Research 的披露恰逢美國(guó)陸軍、海軍陸戰(zhàn)隊(duì)和空軍等美國(guó)軍事部門從政府發(fā)行智能手機(jī)禁令之后，其要求士兵放棄使用一切中國(guó)軟件，因此 TikTok 應(yīng)用程序也在其列。

陸軍發(fā)言人羅賓·奧喬亞上校說(shuō)：“這被認(rèn)為是網(wǎng)絡(luò)威脅。根據(jù) Military.com 12月30日的報(bào)告，我們不允許在政府通訊設(shè)備上使用 TikTok 應(yīng)用程序?！?/p>

在最新的指南建議中，國(guó)防部所有員工被提醒警惕自身設(shè)備中下載的應(yīng)用程序，并時(shí)刻監(jiān)視手機(jī)中是否存在異常和未經(jīng)請(qǐng)求的文本等，一經(jīng)發(fā)現(xiàn)應(yīng)立即刪除它們并卸載 TikTok 以規(guī)避任何公開(kāi)個(gè)人信息的行為。

海軍/海軍陸戰(zhàn)隊(duì)內(nèi)部網(wǎng)（NMCI）用戶意識(shí)公告禁止TikTok

據(jù)路透社報(bào)道稱，美國(guó)政府從 2017 年 11 月開(kāi)始對(duì) TikTok 所有者字節(jié)跳動(dòng)收購(gòu)美國(guó)社交媒體應(yīng)用 Musical.ly 進(jìn)行調(diào)查之后，還發(fā)表了一份聲明，稱其存在潛在的國(guó)家安全風(fēng)險(xiǎn)。

聲明中提到，對(duì) TikTok 進(jìn)行的國(guó)家安全調(diào)查證實(shí)了參議員的擔(dān)憂，即像 TikTok 之類的應(yīng)用可能對(duì)數(shù)百萬(wàn)美國(guó)人構(gòu)成嚴(yán)重風(fēng)險(xiǎn)，應(yīng)受到更嚴(yán)格的審查。

TikTok 美國(guó)總經(jīng)理 Vanessa Pappas 在公司新聞編輯室的多個(gè)帖子中回應(yīng)了這些指控，稱 TikTok 的所有美國(guó)用戶數(shù)據(jù)都存儲(chǔ)在美國(guó)，并在新加坡提供備份冗余。

Pappas 表示：“  TikTok 的數(shù)據(jù)中心完全位于中國(guó)境外。該公司擁有專門的技術(shù)團(tuán)隊(duì)，致力于遵守強(qiáng)大的網(wǎng)絡(luò)安全策略以及數(shù)據(jù)隱私和安全實(shí)踐?！?/p>

編譯自：bleepingcomputer

雷鋒網(wǎng)雷鋒網(wǎng)雷鋒網(wǎng)

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。