校园生活:TikTok修复了可能让黑客操纵账户访问个人数据的安全缺陷
全球最受欢迎的移动应用程序之一存在多个漏洞,这些漏洞可能使攻击者得以操纵用户账户,暴露包括姓名、电子邮件地址和出生日期在内的个人数据。
检查点的研究人员发现,视频分享和社交网络应用TikTok的安全漏洞可能会使其用户的隐私处于危险之中。全球超过10亿安卓和iPhone用户下载了TikTok。
虽然研究人员不能确定这些安全漏洞是否被利用了,但Check Point已经与TikTok合作来修复这些漏洞,并确保它们现在不会被黑客利用。
参见:IT pro关于5G技术的发展和影响的指南(免费PDF)
研究人员发现的**个漏洞是TikTok应用程序的短信功能。为了帮助用户安装该应用程序,该网站允许用户向自己发送一条带有下载链接的短信。然而,人们发现攻击者可以利用这一点进行恶意攻击。
这种攻击要求攻击者知道目标受害者的电话号码;这可能是通过已经以某种方式连接到他们,通过社会工程或网络钓鱼,或从被盗或公开的号码列表中获取。这次攻击是匿名的,没有透露攻击者的身份。
通过编辑下载url参数,攻击者可以发送一个欺骗的SMS消息,其中包含攻击者拥有的恶意链接。
然而,这并不是研究人员发现的**漏洞,他们发现TikTok官方网站的TikTok Ads子域容易受到跨站点脚本攻击(XSS),允许攻击者注入恶意脚本,通过可信域攻击用户。
研究人员发现,在使用TikTok广告帮助中心的搜索功能时,可以通过在搜索结果的地址中输入代码来操纵这个域沈阳教育资源网。
通过结合这些,攻击者就有可能操纵受害者的TikTok账户。他们可以删除视频,可以将私人视频公开或发布自己的视频。
然而,账户操纵并不是这些漏洞的**潜在风险,因为研究人员发现,可以将SMS和XSS漏洞结合起来,检索不供公众使用的敏感信息,包括他们的姓名、电子邮件地址和出生日期。
“社交媒体应用程序极易受到攻击,因为它们提供了良好的个人、私人数据来源,并提供了一个巨大的攻击面。恶意行为者花费大量金钱和时间试图渗透这些非常受欢迎的应用程序——然而大多数用户都认为他们受到了他们正在使用的应用程序的保护,”Check Point的产品漏洞研究负责人Oded Vanunu说。
然而,在去年末发现这些漏洞后,Check Point向TikTok的国内母公司字节跳动(ByteDance)披露了这些漏洞。字节跳动工作迅速,并部署了更新来修补安全漏洞。
参见:网络安全制胜战略(ZDNet特别报道)
TikTok向ZDNet证实,他们已经与Check Point合作解决了这个问题。
TikTok致力于保护用户数据。与许多组织一样,我们鼓励负责任的安全研究人员私下向我们披露零日漏洞。
他补充说:“在公开披露之前,检查点同意所有报告的问题都在我们的应用程序的最新版本中打了补丁。我们希望这个成功的解决方案将鼓励未来与安全研究人员的合作。”
为了防止成为利用研究人员发现的漏洞进行攻击的受害者,用户应该将他们的TikTok应用程序更新到最新版本(如果他们还没有这样做的话)。
