資安業者揭露 TikTok 漏洞:攻擊者能透過惡意連結,操縱使用者帳戶並公開私人影片

【為什麼我們要挑選這篇文章】抖音 TikTok 是當紅社群媒體,2019 年下載次數約 7.5 億次,比 FB、IG 等還高;但 TikTok 近期被網路安全廠商發現資安漏洞,讓攻擊者控制 TikTok 帳戶,進行公開私人影片等惡意操作。

雖然有中國背景的 TikTok 更讓人有疑慮,但所有的社群媒體都容易遭到漏洞攻擊;美軍禁止使用 TikTok,那我們又該如何防備漏洞?(責任編輯:郭家宏)

網路安全廠商 Check Point 旗下威脅情報部門 Check Point Research 近日揭露中國社群媒體抖音(TikTok)多項資安漏洞,包含允許攻擊者操縱使用者帳戶內容等;抖音已發布修補程式。

TikTok 有資安漏洞,攻擊者可控制 TikTok 帳戶並惡意操作

Check Point Research 表示,抖音使用者以青少年和兒童為主,用來分享、儲存自己及親友的私人影片,有時也涵蓋敏感內容。Check Point Research 發現,攻擊者可以向使用者發送一則包含惡意連結的偽造訊息,一旦使用者點擊這條惡意連結,攻擊者便能控制抖音帳戶並進行各種惡意操作,例如刪除影片、上傳未經授權的影片以及將私人或隱藏影片公開等。

Check Point Research 也發現,抖音的子網域 https://ads.tiktok.com 很容易受到跨站指令碼(XSS)攻擊,這類攻擊會將惡意網頁程式碼植入原本安全可信的網站中。Check Point 研究人員利用這項漏洞搜尋到使用者帳戶中個人資訊,包括個人電子信箱和生日。

Check Point Research 已向抖音開發人員揭露這次發現的漏洞,抖音也已發布修補程式,確保使用者可以安全使用。

社群媒體應用程式易遭漏洞攻擊,美軍禁止在公發手機安裝 TikTok

Check Point 產品漏洞研究主管范努努(Oded Vanunu)表示,社群媒體應用程式極易遭到漏洞攻擊,因為擁有大量的私人資料及大面積的攻擊範圍。攻擊者正在花高成本、下大功夫向這些使用者量龐大的應用程式發起攻擊,但大多數使用者仍認為自己使用的應用程式非常安全。

抖音安全團隊負責人迪修特斯(Luke Deshotels)說,抖音高度重視使用者資料安全,並鼓勵負責的安全研究人員向抖音秘密揭發零時差漏洞(指尚未被修補的漏洞)。在公開漏洞之前,Check Point 已確認最新版抖音修復這次所有發現的問題。

根據紐約時報引述 App 分析公司 Sensor Tower 的數據,過去一年抖音下載次數超過 7.5 億次,比臉書(Facebook)、Instagram、YouTube、Snapchat 等平台多出數千萬次。然而在美國陸軍、海軍及陸戰隊以抖音構成安全威脅為由,相繼禁止在政府公發手機使用抖音後,美國空軍及海岸防衛隊也跟進禁用。

(本文經合作夥伴 中央社 授權轉載,並同意 TechOrange 編寫導讀與修訂標題,原文標題為 〈資安業者揭抖音漏洞 帳戶內容可能被操縱 〉。首圖來源:TikTok 粉專

更多關於 TikTok 的消息

TikTok 遭美國大學生控訴!App 內藏了可能被安裝「間諜軟體」的程式碼
「中國」是 TikTok 的原罪!被美國政府盯上,TikTok 正極力淡化自己的中國背景
【TikTok 趨勢年會解析】榮登全球 Apple Store 下載數冠軍,TikTok 的品牌行銷套路怎麼打?


多雲平台管理不易,找出資安威脅難上加難

IBM 解惑如何善用「開源技術」自動因應網路攻擊

獲取 IBM 獨家白皮書

點關鍵字看更多相關文章: