安全研究人員在 TikTok 的基礎架構中發(fā)現(xiàn)了多個漏洞，黑客可以利用漏洞進行潛在攻擊，以此劫持用戶賬戶操作視頻或竊取其個人信息。

TikTok 是字節(jié)跳動旗下的一款社交媒體平臺，它是抖音短視頻的國際版。目前， TikTok 的 iOS 和 Android 應用程序在多個國家/地區(qū)上線，其主打內(nèi)容是 3 到 60 秒的簡短循環(huán)移動視頻共享。

根據(jù) Google Play 商店的統(tǒng)計數(shù)據(jù)，該平臺的 Android 應用當前安裝量超過 5 億次，根據(jù) Sensor Tower Store Intelligence 的估計，該平臺在2019年11月在所有移動平臺上的安裝量均超過了 15 億次。

然而， Check Point 研究人員在本周早些時候發(fā)布的一份報告中指出， TikTok 應用程序及其后端很容易受到攻擊。

Check Point 產(chǎn)品漏洞研究主管 Oded Vanunu 稱，數(shù)據(jù)無處不在，數(shù)據(jù)泄露的問題也正在成為一種隱患，諸如像 TikTok 這樣的社交媒體應用程序非常容易受到漏洞的攻擊，因為它們提供了良好的私人數(shù)據(jù)來源，并且其攻擊難度遠低于其他。

TikTok 賬號系統(tǒng)易受攻擊

TikTok 的 SMS 系統(tǒng)允許 Check Point 研究團隊通過添加和刪除視頻來操縱帳戶數(shù)據(jù)，通過將視頻隱私設置從私有更改為公開來演示隱私侵害問題，并泄露個人用戶數(shù)據(jù)，包括人名、電子郵件地址和生日。

報告顯示，攻擊者可能已通過 TikTok 的 SMS 系統(tǒng)利用這些漏洞來進行如下攻擊行為：

上傳未經(jīng)授權的視頻并刪除用戶的視頻

將用戶的視頻從私人切換至公開

竊取敏感的個人數(shù)據(jù)

為了能夠執(zhí)行這些惡意行為，黑客可以假冒 TikTok 運營商將包含下載鏈接的釣魚短信發(fā)送到任何用戶的電話號碼，從而允許他們注入并執(zhí)行惡意代碼。

此外，攻擊者可以使用相同的策略將 TikTok 用戶重定向到他們控制的 Web 服務器上，從而使黑客假冒受害者發(fā)送不必要的請求。

報告還發(fā)現(xiàn)，潛在的攻擊者可能使用了以 tiktok.com 為幌子將受害者重定向到惡意網(wǎng)站的惡略攻擊行為。

Oded Vanunu 稱，通過重定向攻擊黑客很可能在未經(jīng)用戶同意的情況下完成跨站點請求偽造（ CSRF ），跨站點腳本（ XSS ）和敏感數(shù)據(jù)暴露攻擊。

該安全問題已于 11 月下旬披露給字節(jié)跳動，該公司已在一個月內(nèi)修復了漏洞。

TikTok 安全團隊負責人 Luke Deshotels 稱， TikTok 致力于保護用戶數(shù)據(jù)。像許多組織一樣，我們鼓勵負責任的安全研究人員向我們秘密披露零日漏洞。在公開披露之前，所有報告的問題均已在 TikTok 應用程序的最新版本中進行了修補。

美國禁止士兵使用 TikTok

Check Point Research 的披露恰逢美國陸軍、海軍陸戰(zhàn)隊和空軍等美國軍事部門從政府發(fā)行智能手機禁令之后，其要求士兵放棄使用一切中國軟件，因此 TikTok 應用程序也在其列。

陸軍發(fā)言人羅賓·奧喬亞上校說：“這被認為是網(wǎng)絡威脅。根據(jù) Military.com 12月30日的報告，我們不允許在政府通訊設備上使用 TikTok 應用程序?！?/p>

在最新的指南建議中，國防部所有員工被提醒警惕自身設備中下載的應用程序，并時刻監(jiān)視手機中是否存在異常和未經(jīng)請求的文本等，一經(jīng)發(fā)現(xiàn)應立即刪除它們并卸載 TikTok 以規(guī)避任何公開個人信息的行為。

海軍/海軍陸戰(zhàn)隊內(nèi)部網(wǎng)（NMCI）用戶意識公告禁止TikTok

據(jù)路透社報道稱，美國政府從 2017 年 11 月開始對 TikTok 所有者字節(jié)跳動收購美國社交媒體應用 Musical.ly 進行調(diào)查之后，還發(fā)表了一份聲明，稱其存在潛在的國家安全風險。

聲明中提到，對 TikTok 進行的國家安全調(diào)查證實了參議員的擔憂，即像 TikTok 之類的應用可能對數(shù)百萬美國人構成嚴重風險，應受到更嚴格的審查。

TikTok 美國總經(jīng)理 Vanessa Pappas 在公司新聞編輯室的多個帖子中回應了這些指控，稱 TikTok 的所有美國用戶數(shù)據(jù)都存儲在美國，并在新加坡提供備份冗余。

Pappas 表示：“  TikTok 的數(shù)據(jù)中心完全位于中國境外。該公司擁有專門的技術團隊，致力于遵守強大的網(wǎng)絡安全策略以及數(shù)據(jù)隱私和安全實踐。”

編譯自：bleepingcomputer

雷鋒網(wǎng)雷鋒網(wǎng)雷鋒網(wǎng)

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。