魚羊 發自 凹非寺量子位 報導 | 公眾號 QbitAI
TikTok,抖音海外版,今天因為一個漏洞,再次成為熱議焦點。
這個安全漏洞,通俗來講很簡單:基於TikTok的基礎架構設計,黑客可以有機會向用戶發送惡意連結,然後「為所欲為。」
也就說抖音海外版這個「家」,門鎖有問題,攻擊者開門進去——可以公開草稿箱視頻、可以進一步竊取帳戶支付信息,甚至進一步還能接管用戶帳號。
發現漏洞的研究員說:考慮到TikTok全球有15億用戶,被別有用心之徒盯上就麻煩了。
所以究竟是一個怎樣的漏洞?
抖音海外版安全漏洞
漏洞發現者,是一家全球知名的以色列網絡安全公司:Check Point。
總部位於特拉維夫,提供IT安全軟體和硬體服務,是公認的全球首屈一指的Internet安全解決方案供應商。
這種權威性,也讓此次曝光的TikTok安全漏洞備受關注。
Check Point在研究和攻防中發現,抖音海外版——TikTok的基礎架構設計,使得黑客有機會向TikTok用戶發送帶有惡意連結的信息。
通過這個漏洞,黑客能夠操縱用戶數據,攫取個人隱私數據。
在用戶點擊連結後,攻擊者就能進一步發動攻擊,接管其帳戶,包括上傳視頻、訪問私人視頻。
具體來說,由於用戶在註冊TikTok時必須提供手機號碼(跟國內抖音一樣),而黑客可以訪問到這些代碼。於是,他們能偽裝成「TikTok」,向用戶發送信息,藉此接管受害者帳戶控制權。
一旦攻擊成功,黑客差不多能為所欲為:
刪除視頻,上傳視頻,公開私有視頻將TikTok用戶強制引向黑客控制的Web伺服器,執行未經用戶許可的操作請求將用戶重定向到偽裝成TikTok的惡意網站發現漏洞的安全人員還解釋:
由於缺乏反跨站請求偽造機制,無需受害者同意,攻擊者就可以執行JavaScript代碼,替代受害者執行操作。
並且,一旦攻擊者獲得用戶帳戶的部分控制權,就可以通過API調用,獲取該用戶的隱私信息,包括姓名、電子郵箱、付款信息和生日等。
Check Point產品漏洞研究負責人——奧德·瓦努努(Oded Vanunu)表示,TikTok在全球範圍擁有接近15億的用戶數量,由於數據量巨大,這一產品成為了黑客的重點關注目標。
而且由於TikTok這樣的應用程式可以在多個平臺上使用,因此惡意攻擊很容易迅速升級。
從這個解釋裡,也暗示「漏洞」不止於抖音海外版——TikTok,畢竟「15億用戶數量」,那就可能要把國內版本也計算在內了。
字節跳動回應:漏洞已修復
不過這個漏洞是否涉及了抖音國內版?目前還不知道。
字節跳動官方也沒解釋和說明。
但時間上,漏洞被發現並提交的時間是2019年11月,當時Check Point按照江湖規矩,把漏洞報告給了字節跳動。
其後12月15日,字節跳動方面回覆:漏洞問題已得到修復——用的是TikTok之名。
然而,由於太平洋兩岸形勢,以及美國對中國公司旗下產品的隱私安全擔憂,這個漏洞不再是一個安全漏洞那麼簡單。
最近TikTok,剛因為被美軍禁用引起過關注。
而現在「安全漏洞」,無異於火上澆油。
《紐約時報》就評論稱,在美國軍方禁止士兵使用抖音之後,Check Point發現的漏洞可能會使這些問題更加複雜。
Digital Trends也表示,TikTok正在受到美國立法者的關注,而諸如此類的隱私漏洞會進一步加劇這些擔憂。
紐約時報還指出,由於抖音的用戶以年輕人為主,他們可能對安全更新並沒有那麼在意,這也給黑客帶來了可乘之機。
雖然確實有點被針對,但抖音海外版,也是「欲戴王冠必承其重」。
抖音在海外有多火?
2017年以10億美元的價格收購短視頻應用Musical.ly之後,字節跳動將這一擁有2.4億註冊用戶的App與抖音國際版TikTok進行了合併,推向國際市場。
此後,抖音這一中國最受歡迎的短視頻App,在海外市場也實現了病毒式擴張,成為包括美國、日本、法國、印度等多個國家下載量最高的社交軟體,全球用戶已接近15億。
在美國,TikTok有超過1.1億的下載量,多次進入美國蘋果應用商店下載量前三甲。
在日本,據日本電視臺NTV報導,移動網際網路用戶中每十個人裡就有一個人使用或下載TikTok。
而據《巴黎人報》報導:38%的法國青少年(11歲至14歲)擁有TikTok帳號。
在印度,5億智慧型手機用戶裡,有2億都是TikTok用戶。
其在青少年群體中的發展勢頭,儼然超過Facebook、Instagram等一眾社交媒體。
連Facebook創始人扎克伯格都在內部會議上承認,TikTok是中國科技巨頭在世界範圍內首個表現出色的消費網際網路產品。
就規模而言,我認為TikTok在印度已經超越了Instagram
PG One李小璐視頻洩露事件
只不過意外的是,這個被美媒曝光的漏洞事件,有可能解答PG One的「抖音之問」,也有可能還他一個當時「故意炒作」的清白。
2019年10月底,三段李小璐和PGone同框視頻,忽然流出,一石激起千層浪。
而且從視頻形式、玩法等特點,很快被指向抖音平臺。
此前,PG One曾有過復出嘗試,於是視頻流出後,不少吃瓜網友認為是「故意炒作」,藉機復出。
但很快,PG One就長文回應,一方面解釋與「嫂子」李小璐為何有如此恩愛視頻,另一方面也明確表示視頻並非主動為之,並且提出質問:
為什麼去年在抖音拍的視頻,在沒有任何外傳的前提下會被放出來?
PG One的粉絲也以此聲援:說唱歌手都real,不是就不是,而且確實視頻沒有平臺logo。
其後還進一步有網友爆料,稱該視頻時抖音員工通過抖音後臺,從PGone的草稿箱裡下載下來的。
但抖音隨即回應:草稿視頻不會上傳至後臺。並表示會進一步展開調查。
當時也有眼尖的網友注意到,在抖音APP端的「隱私政策」中,有這樣一條:當您發布音視頻時,在點擊「發布」確認上傳之前,我們可能會將該音視頻臨時加載至伺服器。
總之,一筆吃瓜糊塗帳,一堂隱私安全爭議課,最後跟大部分娛樂熱點一樣,很快被遺忘。
抖音官方後續也沒有進一步再有公開說明。
TikTok回應漏洞
在漏洞曝光後,抖音海外版也發表了公開回應,英中版本全文如下:
Luke Deshotels, PhD, TikTok Security Team: 「TikTok is committed to protecting user data. Like many organizations, we encourage responsible security researchers to privately disclose zero day vulnerabilities to us. Before public disclosure, CheckPoint agreed that all reported issues were patched in the latest version of our app. We hope that this successful resolution will encourage future collaboration with security researchers.」TikTok安全團隊的Luke Deshotels博士表示,「不久前,網絡安全公司CheckPoint的研究團隊向我們提交了他們發現的TikTok漏洞,我們已經在TikTok的上一版本APP中修復了相關漏洞。我們感謝同時鼓勵更多白帽子團隊用非公開的方式向我們提供線索,幫助我們發現、修復漏洞,保護用戶網絡安全。」
至於抖音國內版本是否存在類似漏洞,還沒有公開說明,不過如果有抖友擔憂,也可以及時更新最新版本。
從iOS版本迭代來看,12月剛好有一次大版本更新,但是否與漏洞修復相關?
版本更新資料和官方聲明中都沒有說。
我們也問了字節跳動官方,截至發稿尚無說明。
嗯,就醬~~
參考:
https://www.nytimes.com/2020/01/08/technology/tiktok-security-flaws.html?auth=login-googlehttps://www.theverge.com/2020/1/8/21050589/tiktok-patched-vulnerability-hackers-videos-china-bytedance-checkpoint
https://www.digitaltrends.com/social-media/tiktok-sms-vulnerability/
https://threatpost.com/tiktok-riddled-with-security-flaws/151616/
https://www.bbc.com/news/technology-51010408
—完—