2020 年 1 月 9 日 – 全球領先的網絡安全解決方案提供商 Check Point® 軟體技術有限公司(納斯達克股票代碼:CHKP)威脅情報部門Check Point Research 今天透露,他們在 TikTok(抖音國際版)中發現多個漏洞,這些漏洞允許攻擊者操縱用戶帳戶的內容,甚至提取保存在這些帳戶上的個人機密信息。
TikTok 的用戶群體主要是青少年和兒童,他們使用 TikTok 分享和保存自己及親人的私人視頻(視頻內容有時非常敏感)。研究發現,攻擊者可以向用戶發送一條包含惡意連結的偽造簡訊。一旦用戶點擊這條惡意連結,攻擊者便能夠控制其 TikTok 帳戶並實施各種惡意操作,比如刪除視頻、上傳未經授權的視頻以及將私人或「隱藏」視頻公開等。
研究還發現,Tiktok 的子域 https://ads.tiktok.com 很容易受到 XSS 攻擊,這種攻擊是通過將惡意腳本注入到原本安全可信的網站中實施的。Check Point 研究人員利用這一漏洞檢索到了用戶帳戶中保存的個人信息,包括個人電子郵件地址和生日。
Check Point Research 向 TikTok 開發人員披露了這項研究發現的漏洞,後者已負責任地部署了補丁,以確保其用戶可以繼續安全地使用 TikTok。
Check Point 產品漏洞研究主管 Oded Vanunu 表示:「數據無處不在,數據洩露頻頻發生,我們的最新研究表明,一些最受歡迎的應用也在劫難逃。」社交媒體應用極易遭到漏洞攻擊,因為它們擁有大量的私人數據以及較大的攻擊面。攻擊者正在花大成本、下大功夫向這些體量龐大的應用發起攻擊。然而,大多數用戶還認為自己使用的應用非常安全。」
TikTok 安全團隊 Luke Deshotels 博士表示:「TikTok 高度重視用戶數據安全。同許多企業一樣,我們鼓勵負責任的安全研究人員向我們秘密披露零日漏洞。在公開漏洞之前,CheckPoint 已確認所有報告的問題都已在最新版 TikTok 中進行了修復。希望此次風險的成功化解能夠促進未來更多類似安全合作。」
TikTok 覆蓋全球 150 多個國家和地區,提供 75 種語言,用戶數量超過 10 億。毫無疑問,TikTok 是下載次數最多的應用之一。截至 2019 年 10 月,TikTok 登頂美國應用下載量排行榜,成為首個創造這一記錄的中國應用。
有關這項研究的更多信息,請查看 Check Point Research 博客。
關於 Check Point 軟體技術有限公司
Check Point 軟體技術有限公司(www.checkpoint.com) 是一家面向全球企業用戶業內領先的信息安全解決方案提供商。Check Point 解決方案對惡意軟體、勒索軟體和高級目標威脅的防範率處於業界領先水準,可有效保護客戶免受第五代網絡攻擊。Check Point 為業界提供前瞻性多級安全架構 Infinity Total Protection,這一組合產品架構具備第五代高級威脅防禦能力,可全面保護企業的雲、網絡,移動,工業網際網路和IOT系統。
關於 Check Point Research
Check Point Research 能夠為 Check Point Software 客戶以及整個情報界提供領先的網絡威脅情報。Check Point 研究團隊負責收集和分析 ThreatCloud 存儲的全球網絡攻擊數據,以便在防範黑客的同時,確保所有 Check Point 產品都享有最新保護措施。此外,該團隊由 100 多名分析師和研究人員組成,能夠與其他安全廠商、執法機關及各個計算機安全應急響應組展開合作。
未經允許不得轉載:DOIT » 抖音國際版 TikTok 多個漏洞被揭露