4006-555-883

TikTok修复了可能使黑客操纵帐户并访问个人数据的安全漏洞

发布时间:2020-01-09 10:50:00

  世界上最流行的移动应用程序之一可能存在多个漏洞,使得攻击者能够操纵用户帐户并公开个人数据,包括姓名、电子邮件地址和出生日期。

  由CheckPoint的研究人员发现,视频共享和社交网络应用TikTok的安全漏洞可能会危及其用户的隐私。TikTok已经被全球超过10亿Android和iPhone用户下载。

  虽然研究人员无法确定这些安全漏洞是否被利用,但Check Point已经与TikTok合作修复这些漏洞,并确保它们现在不能被黑客使用。



  研究人员发现的第一个漏洞是TikTok应用程序的短信功能。为了帮助用户安装应用程序,该网站允许用户向自己发送带有下载链接的文本消息。但是,我们发现攻击者可以利用此漏洞进行恶意攻击。

  此攻击要求攻击者知道目标受害者的电话号码;这可能是通过已经以某种方式连接到他们,通过社交工程或网络钓鱼获取,或者从被盗或公开的号码列表中获取。攻击是匿名的,不会透露攻击者的身份。

  通过编辑下载url参数,攻击者可以发送包含攻击者拥有的恶意链接的伪造短信。

  然而,这并不是研究人员发现的唯一一个漏洞,因为他们发现TikTok官方网站的TikTok Ads子域易受跨站点脚本(XSS)攻击,使得攻击者能够通过可信域注入恶意脚本,以攻击用户。

  研究人员发现,当使用TikTok广告帮助中心的搜索功能时,可以通过在搜索结果的地址中输入代码来操作这个域。

  通过组合这些,攻击者有可能操纵受害者的TikTok帐户。他们可以删除视频,公开私人视频或者发布自己的视频。

  然而,账户操纵并不是这些漏洞的唯一潜在风险,因为研究人员发现,可以将短信和XSS漏洞结合起来,检索非公共消费的敏感信息,包括姓名、电子邮件地址和出生日期。

  “社交媒体应用程序针对性很强,因为它们提供了个人、私人数据的良好来源,并提供了巨大的攻击面。Check Point的产品漏洞研究负责人奥德瓦努努(Oded Vanunu)说:“恶意行为人花费大量的金钱和时间试图渗透这些非常受欢迎的应用程序,但大多数用户都假设他们受到正在使用的应用程序的保护。”。

  然而,在去年年底发现这些漏洞后,Check Point向TikTok的中国母公司ByteDance披露了这些漏洞,后者迅速展开工作,并部署了一个更新程序来修复安全漏洞。

  TikTok向ZDNet确认,他们已经与Check Point合作解决了这个问题。

  “TikTok致力于保护用户数据。像许多组织一样,我们鼓励负责任的安全研究人员私下向我们披露零日漏洞。

  “在公开披露之前,CheckPoint同意在我们最新版本的应用程序中修补所有报告的问题。我们希望这一成功的解决方案将鼓励未来与安全研究人员的合作。

  为了防止成为利用研究人员发现的漏洞进行攻击的牺牲品,如果用户还没有更新TikTok应用程序到最新版本,那么他们应该更新TikTok应用程序。

  (内容翻译于zdnet.com)

最新发布
1
超1.7亿条个人信息遭泄露,这2种证书可守护你的App数据安全
2
新型诈骗惊动高层!银保监会紧急发布风险提示 SSL证书价值凸显
3
《网络安全法》实施五周年,加快推进国密改造提升网络空间安全
4
政府机构频遭黑客攻击,国密改造亟需加快推进
5
普京签署特殊“总统令”,关键信息基础设施成各国网络空间博弈主战场
6
首都网络安全日 | 数字经济时代,如何守护我们的网络安全?
7
俄罗斯5.8 TB数据遭黑客泄露,关键基础设施安全亟待加强
8
中共中央办公厅 国务院办公厅发文加强打击网络诈骗,SSL证书网络防护作用凸显
9
警惕!银行系统漏洞频发,国密改造亟需加快推进
10
4·15国家安全教育日 | 网络安全,你我共建
相关推荐
超1.7亿条个人信息遭泄露,这2种证书可守护你的App数据安全
政府机构频遭黑客攻击,国密改造亟需加快推进
俄罗斯5.8 TB数据遭黑客泄露,关键基础设施安全亟待加强
Twitter流量疑遭俄罗斯劫持!防劫持保安全SSL证书不可或缺
《网络安全法》实施五周年,加快推进国密改造提升网络空间安全
中共中央办公厅 国务院办公厅发文加强打击网络诈骗,SSL证书网络防护作用凸显
证据曝光!美国对中国使用顶级网络武器!网络“镰刀”之下如何保护自己的安全?
央视专题报道,2亿多网民遭遇信息泄露,如何应对网络安全“重灾区”?
十部委联合发文鼓励 国密算法证书迎来高速发展
警惕!银行系统漏洞频发,国密改造亟需加快推进