4006-555-883

TikTok修复了可能使黑客操纵帐户并访问个人数据的安全漏洞

发布时间:2020-01-09 10:50:00

  世界上最流行的移动应用程序之一可能存在多个漏洞,使得攻击者能够操纵用户帐户并公开个人数据,包括姓名、电子邮件地址和出生日期。

  由CheckPoint的研究人员发现,视频共享和社交网络应用TikTok的安全漏洞可能会危及其用户的隐私。TikTok已经被全球超过10亿Android和iPhone用户下载。

  虽然研究人员无法确定这些安全漏洞是否被利用,但Check Point已经与TikTok合作修复这些漏洞,并确保它们现在不能被黑客使用。



  研究人员发现的第一个漏洞是TikTok应用程序的短信功能。为了帮助用户安装应用程序,该网站允许用户向自己发送带有下载链接的文本消息。但是,我们发现攻击者可以利用此漏洞进行恶意攻击。

  此攻击要求攻击者知道目标受害者的电话号码;这可能是通过已经以某种方式连接到他们,通过社交工程或网络钓鱼获取,或者从被盗或公开的号码列表中获取。攻击是匿名的,不会透露攻击者的身份。

  通过编辑下载url参数,攻击者可以发送包含攻击者拥有的恶意链接的伪造短信。

  然而,这并不是研究人员发现的唯一一个漏洞,因为他们发现TikTok官方网站的TikTok Ads子域易受跨站点脚本(XSS)攻击,使得攻击者能够通过可信域注入恶意脚本,以攻击用户。

  研究人员发现,当使用TikTok广告帮助中心的搜索功能时,可以通过在搜索结果的地址中输入代码来操作这个域。

  通过组合这些,攻击者有可能操纵受害者的TikTok帐户。他们可以删除视频,公开私人视频或者发布自己的视频。

  然而,账户操纵并不是这些漏洞的唯一潜在风险,因为研究人员发现,可以将短信和XSS漏洞结合起来,检索非公共消费的敏感信息,包括姓名、电子邮件地址和出生日期。

  “社交媒体应用程序针对性很强,因为它们提供了个人、私人数据的良好来源,并提供了巨大的攻击面。Check Point的产品漏洞研究负责人奥德瓦努努(Oded Vanunu)说:“恶意行为人花费大量的金钱和时间试图渗透这些非常受欢迎的应用程序,但大多数用户都假设他们受到正在使用的应用程序的保护。”。

  然而,在去年年底发现这些漏洞后,Check Point向TikTok的中国母公司ByteDance披露了这些漏洞,后者迅速展开工作,并部署了一个更新程序来修复安全漏洞。

  TikTok向ZDNet确认,他们已经与Check Point合作解决了这个问题。

  “TikTok致力于保护用户数据。像许多组织一样,我们鼓励负责任的安全研究人员私下向我们披露零日漏洞。

  “在公开披露之前,CheckPoint同意在我们最新版本的应用程序中修补所有报告的问题。我们希望这一成功的解决方案将鼓励未来与安全研究人员的合作。

  为了防止成为利用研究人员发现的漏洞进行攻击的牺牲品,如果用户还没有更新TikTok应用程序到最新版本,那么他们应该更新TikTok应用程序。

  (内容翻译于zdnet.com)

最新发布
1
热点问题解答 | vTrus SSL证书三问三答,自主品牌保障企业网站安全合规
2
“数据安全”连续四年被写入政府工作报告,天威诚信核心技术护航数据全生命周期安全
3
《中华人民共和国档案法实施条例》正式施行,天威诚信数字信任服务推进档案信息化、法制化建设
4
反转不断的“凤印案” 从《大唐狄公案》看传统印章的管理困局
5
各地文旅局“卷”疯了!电子合同服务助力旅游经济快速上分!
6
《铁路关键信息基础设施安全保护管理办法》发布,双算法证书方案让数据传输更加安全可信
7
共创共赢!铜锁项目获评2023开源创新榜“优秀开源项目”
8
行业用户认可|天威诚信获评“2023用户推荐网络安全厂商品牌”
9
网信办出手处置诈骗网站,企业如何防范网络钓鱼威胁?
10
商务部等12部门联合印发重磅文件,SSL数据安全保障服务价值凸显
相关推荐
网信办出手处置诈骗网站,企业如何防范网络钓鱼威胁?
“数据安全”连续四年被写入政府工作报告,天威诚信核心技术护航数据全生命周期安全
反转不断的“凤印案” 从《大唐狄公案》看传统印章的管理困局
行业用户认可|天威诚信获评“2023用户推荐网络安全厂商品牌”
《铁路关键信息基础设施安全保护管理办法》发布,双算法证书方案让数据传输更加安全可信
各地文旅局“卷”疯了!电子合同服务助力旅游经济快速上分!
热点问题解答 | vTrus SSL证书三问三答,自主品牌保障企业网站安全合规
《中华人民共和国档案法实施条例》正式施行,天威诚信数字信任服务推进档案信息化、法制化建设
关于印发《国家密码科学基金管理办法(试行)》的通知
商务部等12部门联合印发重磅文件,SSL数据安全保障服务价值凸显