TikTok修補允許駭客擺布用戶內容的安全漏洞

資安業者Check Point在本周公布短影片程式TikTok的眾多安全漏洞，這些漏洞允許駭客取得TikTok帳號並擺布內容、刪除影片、任意上傳影片、讓私有影片公開，也能取得用戶帳號的個人資訊，TikTok母公司字節跳動在去年11月收到Check Point的通知後，已於新版TikTok修補了相關漏洞。

字節跳動在全球發表了兩款短影片程式，在中國為抖音，在海外為TikTok，在全球逾150個國家發行的TikTok快速成為全球年輕人風行的程式，估計已有超過15億用戶。然而，美國海軍及陸軍近來以TikTok蒐集裝置資料造成安全風險為由，先後封鎖了TikTok程式，而Check Point的研究則透露出，TikTok的安全危機不僅於此。

Check Point指出，TikTok的官網有一項功能是讓使用者傳送簡訊給自己以下載TikTok程式，但它存在一個漏洞可讓任何人代替TikTok傳送簡訊至任意電話號碼，並在簡訊中置入駭客所選擇的網址，於是駭客就能將使用者導至惡意網站，進而執行跨站指令碼（XSS）、跨站請求偽造（CSRF）或是曝露機密資料等攻擊行動。

相關的攻擊行動將允許駭客刪除TikTok用戶的影片，或是擅自建立影片，並把自己變成受害者的粉絲，伺機將受害者的私有影片變成公開，或是利用XSS攻擊或其它方法取得受害者的機密資訊。

字節跳動是在去年11月收到Check Point的通知，並在最新的TikTok版本修補了安全漏洞，同時也感謝Check Point的協助。