抖音海外版爆漏洞,隐藏视频可被公开,个人账号接近裸奔

大数据文摘 · 2020-01-10
字节跳动称新版本已修复漏洞。

编者按:本文来自微信公众号“大世界文摘”(ID:BigDataDigest)作者:曹培信,36氪经授权发布。

这一年,大家在抖音上吃的瓜不少,现在,抖音自己也出瓜了。

据纽约时报报道,抖音海外版Tiktok存在严重的安全漏洞,而这些漏洞几乎可以让攻击者对你的账户和信息为所欲为。

具体包括:

  • 掌握他人的TikTok账户并操纵账户里面的内容

  • 删除视频

  • 上传未经授权公开的草稿视频

  • 将私人“隐藏”视频公开

  • 泄露保存在帐户上的个人信息,例如私人电子邮件地址

在攻击者的眼里,你的账户可能就是在“裸奔”。

TikTok漏洞事件

TikTok这一漏洞并非由某一人发现的,而是一个名为Check Point的以色列安全公司。

这个公司中有很多研究人员,做着类似于“白帽黑客”的事——找出一些应用的漏洞,向发布应用的公司提交这些漏洞并将此信息公布给大众。

TikTok的这些漏洞便是由该公司的研究人员Alon Boxiner,Eran Vaknin,Alexey Volodin,Dikla Barda,Roman Zaikin等人发现,并在Check Point网站上公布了漏洞的技术细节。

首先,攻击者可以伪装成TikTok官方给用户发短信,引导其点击非法链接。

当我们打开TikTok官网时,会有一个输入框可以输入手机号码,以获得含有TikTok下载链接的短信。

抖音海外版爆漏洞,隐藏视频可被公开,个人账号接近裸奔

而可以使用代理工具(如burpsuite)捕获这一请求,然后以TikTok官方的名义将一条带有非法链接的短信发送给用户。

抖音海外版爆漏洞,隐藏视频可被公开,个人账号接近裸奔

抖音海外版爆漏洞,隐藏视频可被公开,个人账号接近裸奔

上图是合法地址,下图是非法地址

其次是研究人员发现,在 Android 手机上使用 TikTok 应用逆向工程时,有一个“深层链接”功能,可以通过浏览器链接实现在应用中调用意图,使攻击者能够代表用户发送请求。

研究人员表示:在TikTok缺乏反“跨站点伪造请求”机制的情况下,我们实现了无需受害者同意就可以代表用户执行JavaScript代码和操作。

之后就可以通过代表用户执行操作,实现以下操作:

  • 删除视频

  • 创建视频

  • 将私人视频发布出去

  • 示用户的敏感信息,包括电子邮件地址、支付信息、生日

新版本已更新,尚不知是否影响国内

Check Point产品漏洞研究负责人奥代德·瓦努努(Oded Vanunu)说:“我们发现的漏洞都在TikTok系统的核心部分。”

漏洞的曝光时间是去年的11月,Check Point也将漏洞报告给了TikTok。

据《纽约时报》报道,TikTok安全团队负责人Luke Deshotels表示,“TikTok致力于保护用户数据,像许多组织一样,我们鼓励负责任的安全研究人员在公开披露之前私下向我们披露零日漏洞(zero day vulnerabilities),Check Point也证实所有报告的问题在TikTok最新版本中进行了修复。我们希望这次成功的解决过程将鼓励安全研究人员在未来的合作。”

我们可以看到,TikTok在12.13号也进行了一次更新。

抖音海外版爆漏洞,隐藏视频可被公开,个人账号接近裸奔

尽管更新日志中,TikTok并未写明是修复了漏洞,那么国内版本是否存在相同的情况呢?

这一点我们不得而知,但是Check Point既然说的是影响全球的“15亿用户”,那么文摘菌猜测国内应该是包含在内的,不过TikTok安全团队负责人Luke Deshotels也表示,“在所有的用户记录中没有迹象表明发生了入侵或攻击”。

昨天晚上,就这一事件字节跳动安全团队回复了钛媒体:“我们注意到国外媒体的报道。相关问题已经在TikTok的上一版本中修复。安全团队也根据提交的漏洞做了检测,已在抖音早前版本中修复检测发现的问题。网络安全无小事,我们再次感谢网络安全白帽子团队,我们也会及时发现并修复相关隐患。”

磕碰不断的抖音海外市场

抖音海外版TikTok近几年可以说是成绩斐然,但是这次漏洞事件却可能成为一个导火索。

本来,在TikTok在海外的发展就并非一帆风顺。2018年7月3日,因内容存不良影响,TikTok在印度尼西亚被封禁,之后,又在印度被下架一段时间。

并且,美国军方的几个部门已经下了禁令,不许在政府配发的智能手机上使用该应用程序,《纽约时报》也表示,这次Check Point发现的漏洞可能会加剧这些担忧。

尽管抖音这几年在国际市场有着各种磕磕碰碰,但是发展势头依然很猛,外媒感慨,在过去的两年中,TikTok的爆炸式增长成为中国互联网应用在世界取得成功的罕见案例。

根据数据公司感应塔(Sensor Tower)的数据,到2019年底,TikTok的下载量超越了Facebook、Instagram、YouTube和Snap等软件。

2018年1月,Tik Tok在泰国登顶App Store总榜。2018年5月,Tik Tok在越南Google Play和App Store两个应用商店双双拿下总排行榜的第一名。

不仅在泰国和越南,Tik Tok在日本、菲律宾、马来西亚、柬埔寨等国家都处于市场领先地位,均多次登顶当地App Store或Google Play总榜。

然而在飞速发展的同时,TikTok似乎不太注重安全性。就像另一网络安全公司Lookout的研究负责人Christoph Hebeisen说:“TikTok可能更着重于快速增长并为用户构建新功能,而不是巩固安全性,像这样的公司有安全漏洞是在我预料之中的。”

除了漏洞,Tiktok还面临隐私数据保护问题。2019年2月,美国联邦贸易委员会(Federal Trade Commission)对TikTok提出投诉,称其非法收集未成年人的个人信息。投诉称,Musical.ly(被字节跳动收购)违反了《儿童在线隐私保护法》(Children’s Online Privacy Protection Act,COPPA),该法要求网站和在线公司在收集个人信息之前,要求13岁以下的儿童征得父母的同意。

TikTok同意支付570万美元达成和解,并表示将遵守COPPA。英国信息专员办公室也在对TikTok进行调查,以确定它是否违反了为未成年人及其数据提供特殊保护的欧洲隐私法。

封面图来自pexels

+1

好文章,需要你的鼓励

参与评论
登录后才能参与讨论哦...
后参与讨论
提交评论0/1000

请回复有价值的信息,无意义的评论将很快被删除,账号将被禁止发言。

下一篇

你的出身阶层能不能决定未来?富人的孩子是否还是富人?穷人的孩子是否依旧是穷人?我们的社会是否真的已经固化?

2020-01-10

36氪APP让一部分人先看到未来
36氪
鲸准
氪空间

为你推送和解读最前沿、最有料的科技创投资讯

一级市场金融信息和系统服务提供商

聚集全球最优秀的创业者,项目融资率接近97%,领跑行业