Check Point Research：抖音國際版多漏洞 容易洩露個人資料、地址和電郵

網絡安全解決方案供應商Check Point軟件技術有限公司的威脅情報部門 Check Point Research今天透露，他們在TikTok (抖音國際版) 中發現多個漏洞，這些漏洞允許攻擊者操縱用戶帳戶的內容，甚至提取保存在這些帳戶上的個人機密資料。

TikTok的用戶群體主要是青少年和兒童，他們使用TikTok分享和儲存自己及親人的私人影片（影片內容有時非常敏感）。研究發現，攻擊者可以向用戶發送一條包含惡意連結的偽造短訊。一旦用戶點擊這條惡意連結，攻擊者便能夠控制其 TikTok帳戶並進行各種惡意操作，例如刪除影片、上傳未經授權的影片以及將私人或「隱藏」影片公開等。

研究還發現，TikTok的子域https://ads.tiktok.com很容易受到XSS攻擊，這種攻擊是通過將惡意腳本注入到原本安全可信的網站中實施的。Check Point研究人員利用這一個漏洞檢索到了用戶帳戶中儲存的個人資料，包括個人電子郵件地址和生日日期。

Check Point Research向TikTok開發人員披露了這項研究發現的漏洞，後者已負責任地發布了，以確保其用戶可以繼續安全地使用TikTok。

Check Point 產品漏洞研究主管Oded Vanunu表示：「數據無處不在，數據洩漏頻頻發生，我們的最新研究顯示，一些最受歡迎的應用程式也在劫難逃。社交媒體應用程式極易遭到漏洞攻擊，因為它們擁有大量的私人數據以及較大的攻擊面。攻擊者正在花大成本、下大功夫向這些體量龐大的應用程式發起攻擊。然而，大多數用戶還認為自己使用的應用程式非常安全。」

TikTok安全團隊Luke Deshotels博士表示：「TikTok高度重視用戶數據安全。與許多企業一樣，我們鼓勵負責任的安全研究人員向我們秘密披露零日漏洞。在公開漏洞之前，CheckPoint已確認所有報告的問題都已在最新版TikTok中進行了修復。希望是次風險的成功化解能夠促進未來更多類似安全合作。」

TikTok覆蓋全球150多個國家和地區，提供75種語言，用戶數量超過10億。毫無疑問，TikTok是下載次數最多的應用之一。截至2019年10月，TikTok登上美國應用下載量排行榜首位，成為首個創造這一記錄的中國應用。