社交應用再現漏洞 抖音遭揭暗藏危機

TikTok 覆蓋全球 150 多個國家和地區，提供 75 種語言，用戶數量超過10億，為全球最多下載的中國手機應用

新科技速遞

較早前發現WhatsApp漏洞的Check Point威脅情報部門 Check Point Research，再發現TikTok（抖音國際版）的多個漏洞，抖音在國際廣泛受歡迎，而抖音國際版多個漏洞，有機會讓攻擊者操縱用戶帳戶內容，提取這些帳戶內的個人機密資料。 

TikTok 用戶群體以青少年和兒童為主，使用TikTok分享和儲存自己及親人的私人影片（影片內容有時非常敏感）。

研究發現，網絡攻擊者可向用戶發送一條包含惡意連結的偽造短訊。一旦用戶點擊這條惡意連結，攻擊者便能控制TikTok帳戶，並進行各種惡意操作，例如刪除影片、上傳未經授權的影片，以及公開私人或「隱藏」影片等。 

研究還發現，TikTok子域 https://ads.tiktok.com 很易受XSS攻擊，這種攻擊通過注入惡意程式腳本，到原本以為是安全可信的網站中展開攻擊。Check Point 研究人員利用這一個漏洞，檢索用戶帳戶中儲存個人資料，包括個人電子郵件地址和出生日期。 

Check Point Research 向 TikTok 開發人員披露了研究發現漏洞，後者已發布了更新，確保其用戶可繼續安全使用TikTok。

Check Point 產品漏洞研究主管Oded Vanunu 表示：「數據無處不在，數據洩漏頻頻發生，我們最新研究顯示，一些最受歡迎應用，也是劫數難逃。社交媒體應用程式極易遭到漏洞攻擊，因為擁有大量私人數據，以及較大攻擊面。攻擊者正在花大成本、下大功夫向這些體量龐大的應用，發起攻擊。然而，大多數用戶還認為，自己正使用的應用非常安全。」 

TikTok 安全團隊Luke Deshotels 博士表示：「TikTok 高度重視用戶數據安全。與許多企業一樣，我們鼓勵負責任安全研究人員，向我們秘密披露零漏洞。公開漏洞之前，CheckPoint 已確認所有報告的問題，都已在最新版TikTok 中修復。希望是次風險的成功化解，能促進未來更多類似的安全合作。」

TikTok 覆蓋全球 150 多個國家和地區，提供 75 種語言，用戶數量超過10億。TikTok 也是下載次數最多應用之一。截至 2019 年 10 月，TikTok 登上美國應用下載量排行榜首位，成為首次創造記錄的中國手機應用。