安全企业Check Point在本周公布短视频程序TikTok的众多安全漏洞,这些漏洞允许黑客取得TikTok账号并摆布内容、删除视频、任意上传视频、让私有视频公开,也能取得用户账号的个人信息,TikTok母公司字节跳动在去年11月收到Check Point的通知后,已于新版TikTok修补了相关漏洞。
字节跳动在全球发布了两款短视频程序,在中国为抖音,在海外为TikTok,在全球超过150个国家发行的TikTok快速成为全球年轻人流行的程序,估计已有超过15亿用户。然而,美国海军及陆军近来以TikTok搜集设备数据造成安全风险为由,先后封锁了TikTok程序,而Check Point的研究则透露出,TikTok的安全危机不仅于此。
Check Point指出,TikTok的官网有一项功能是让用户发送短信给自己以下载TikTok程序,但它存在一个漏洞可让任何人代替TikTok发送短信至任意电话号码,并在短信中置入黑客所选择的网址,于是黑客就能将用户跳转至恶意网站,进而执行跨站脚本(XSS)、跨站请求伪造(CSRF)或是暴露机密数据等攻击行动。
相关的攻击行动将允许黑客删除TikTok用户的视频,或是擅自创建视频,并把自己变成受害者的粉丝,伺机将受害者的私有视频变成公开,或是利用XSS攻击或其它方法取得受害者的机密信息。
字节跳动是在去年11月收到Check Point的通知,并在最新的TikTok版本修补了安全漏洞,同时也感谢Check Point的协助。