资安业者揭抖音漏洞 帐户内容可能被操纵
(中央社记者吴家豪台北13日电)网络安全厂商Check Point旗下威胁情报部门Check Point
Research近日揭露中国社群媒体抖音(TikTok)多项资安漏洞,包含允许攻击者操纵使用
者帐户内容等;抖音已发布修补程式。
Check Point Research表示,抖音使用者以青少年和儿童为主,用来分享、储存自己及亲友
的私人影片,有时也涵盖敏感内容。Check Point Research发现,攻击者可以向使用者发送
一则包含恶意连结的伪造讯息,一旦使用者点击这条恶意连结,攻击者便能控制抖音帐户并
进行各种恶意操作,例如删除影片、上传未经授权的影片以及将私人或隐藏影片公开等。
Check Point Research也发现,抖音的子网域https://ads.tiktok.com很容易受到跨站指令
码(XSS)攻击,这类攻击会将恶意网页程式码植入原本安全可信的网站中。Check Point研
究人员利用这项漏洞搜寻到使用者帐户中个人资讯,包括个人电子信箱和生日。
Check Point Research已向抖音开发人员揭露这次发现的漏洞,抖音也已发布修补程式,确
保使用者可以安全使用。
Check Point产品漏洞研究主管范努努(Oded Vanunu)表示,社群媒体应用程式极易遭到漏
洞攻击,因为拥有大量的私人资料及大面积的攻击范围。攻击者正在花高成本、下大功夫向
这些使用者量庞大的应用程式发起攻击,但大多数使用者仍认为自己使用的应用程式非常安
全。
抖音安全团队负责人迪修特斯(Luke Deshotels)说,抖音高度重视使用者资料安全,并鼓
励负责的安全研究人员向抖音秘密揭发零时差漏洞(指尚未被修补的漏洞)。在公开漏洞之
前,Check Point已确认最新版抖音修复这次所有发现的问题。
根据纽约时报引述App分析公司Sensor Tower的数据,过去一年抖音下载次数超过7.5亿次,
比脸书(Facebook)、Instagram、YouTube、Snapchat等平台多出数千万次。然而在美国陆
军、海军及陆战队以抖音构成安全威胁为由,相继禁止在政府公发手机使用抖音后,美国空
军及海岸防卫队也跟进禁用。(编辑:郭萍英)1090113
https://www.cna.com.tw/news/firstnews/202001130128.aspx
心得'
有点可怕,但是还好抖音动作迅速,现在最新版已经修正了,如果还没更新的记得赶快去更
新成最新版,就不用担心了.