Check Point展示針對TikTok漏洞執行攻擊的影片。(翻攝自https://research.checkpoint.com/2020/tik-or-tok-is-tiktok-secure-enough/)

資安業者Check Point在本周公布短影片程式TikTok的眾多安全漏洞,這些漏洞允許駭客取得TikTok帳號並擺布內容、刪除影片、任意上傳影片、讓私有影片公開,也能取得用戶帳號的個人資訊,TikTok母公司字節跳動在去年11月收到Check Point的通知後,已於新版TikTok修補了相關漏洞。

字節跳動在全球發表了兩款短影片程式,在中國為抖音,在海外為TikTok,在全球逾150個國家發行的TikTok快速成為全球年輕人風行的程式,估計已有超過15億用戶。然而,美國海軍及陸軍近來以TikTok蒐集裝置資料造成安全風險為由,先後封鎖了TikTok程式,而Check Point的研究則透露出,TikTok的安全危機不僅於此。

Check Point指出,TikTok的官網有一項功能是讓使用者傳送簡訊給自己以下載TikTok程式,但它存在一個漏洞可讓任何人代替TikTok傳送簡訊至任意電話號碼,並在簡訊中置入駭客所選擇的網址,於是駭客就能將使用者導至惡意網站,進而執行跨站指令碼(XSS)、跨站請求偽造(CSRF)或是曝露機密資料等攻擊行動。

相關的攻擊行動將允許駭客刪除TikTok用戶的影片,或是擅自建立影片,並把自己變成受害者的粉絲,伺機將受害者的私有影片變成公開,或是利用XSS攻擊或其它方法取得受害者的機密資訊。

字節跳動是在去年11月收到Check Point的通知,並在最新的TikTok版本修補了安全漏洞,同時也感謝Check Point的協助。


Advertisement

更多 iThome相關內容