Check Point® 软件技术有限公司威胁谍报部门Check Point Research 今天透露,他们在 TikTok(抖音国际版)中发明多个缝隙,这些缝隙允许打击者独霸用户帐户的内容,甚至提取生存在这些帐户上的小我私家机密信息。
TikTok 的用户群体主要是青少年和儿童,他们使用 TikTok 分享和生存本身及亲人的私人视频(视频内容有时非常敏感)。研究发明,打击者可以向用户发送一条包罗恶意链接的伪造短信。一旦用户点击这条恶意链接,打击者便能够控制其 TikTok 帐户并实施各类恶意操纵,好比删除视频、上传未经授权的视频以及将私人或“隐藏”视频果然等。
研究还发明,Tiktok 的子域 https://ads.tiktok.com 很容易受到 XSS 打击,这种打击是通过将恶意脚本注入到原本安适可信的网站中实施的。Check Point 研究人员操作这一缝隙检索到了用户帐户中生存的小我私家信息,包孕小我私家电子邮件地点和生日。
Check Point Research 向 TikTok 开发人员披露了这项研究发明的缝隙,后者已卖力任地部署了补丁,以确保其用户可以继续安适地使用 TikTok。
Check Point 产品缝隙研究主管 Oded Vanunu 暗示:“数据无处不在,数据泄露频频产生,我们的最新研究表白,一些最受欢迎的应用也在劫难逃。”社交媒体应用极易遭到缝隙打击,因为它们拥有大量的私人数据以及较大的打击面。打击者正在花大本钱、下大工夫向这些体量复杂的应用倡议打击。然而,大大都用户还认为本身使用的应用非常安适。”
TikTok 安适团队 Luke Deshotels 博士暗示:“TikTok 高度重视用户数据安适。同许多企业一样,我们鼓励卖力任的安适研究人员向我们奥秘披露零日缝隙。在果然缝隙之前,CheckPoint 已确认所有呈报的问题都已在最新版 TikTok 中进行了修复。但愿这次危害的告成化解能够促进未来更多类似安适合作。”
TikTok 笼罩全球 150 多个国家和地区,供给 75 种语言,用户数量赶过 10 亿。毫无疑问,TikTok 是下载次数最多的应用之一。截至 2019 年 10 月,TikTok 登顶美国应用下载量排行榜,成为首个缔造这一记录的中国应用。
有关这项研究的更多信息,请检察 Check Point Research 博客。