Check Point Research 揭露 TikTok 藏資安漏洞,使用者 IP、電子信箱等用戶個資無一倖免

「加三嘻行動哇 Yipee! 成為好友」

FacebookYoutubeTwitterInstagramTelegramLine

Check Point Research 揭露短影音平台 TikTok 的多項資安漏洞,包含允許攻擊者操縱使用者帳戶內容,甚至竊取保存在其中的個人機密資訊。

TikTok 使用者以青少年和兒童為主,他們用來分享、儲存自己及親友的私人影片,有時也涵蓋非常敏感內容。Check Point Research 發現,攻擊者可以向使用者發送一則包含惡意連結的偽造訊息。一旦使用者點擊這條惡意連結,攻擊者便能控制其 TikTok 帳戶並進行各種惡意操作,如刪除影片、上傳未經授權的影片以及將私人或「隱藏」影片公開等。

除此之外,TikTok 的子網域 (https://ads.tiktok.com) 很容易受到跨站指令碼(XSS)攻擊,這類攻擊是透過將惡意網頁程式碼(Malicious Script)植入原本安全可信的網站中進行的。Check Point 研究人員利用這一漏洞即搜尋到了使用者帳戶中的個人資訊,包括個人電子信箱和生日。

Check Point Research 向 TikTok 開發人員揭露了這次發現的漏洞,TikTok 也已發布了修補程式,確保其使用者可以繼續安全地使用 TikTok。

Check Point 產品漏洞研究主管 Oded Vanunu 表示,資料無處不在,但外洩事件卻頻繁發生,最新研究指出,一些最受歡迎的應用程式也在劫難逃。社群媒體應用程式極易遭到漏洞攻擊,因其擁有大量的私人資料及大面積的攻擊範圍。攻擊者正在花高成本、下大功夫向這些使用者量龐大的應用程式發起攻擊,但大多數使用者仍認為自己使用的應用程式非常安全。

TikTok 安全團隊 Luke Deshotels 博士表示,TikTok 重視使用者資料安全。跟許多企業一樣,鼓勵負責的安全研究人員向我們秘密揭發零時差漏洞;在公開漏洞之前,Check Point 已確認最新版 TikTok 修復了這次所有發現的問題。希望透過這次順利化解危機,能促進未來更多類似的安全合作機會。

延伸閱讀:

GE 家電採用 UL IoT 安全評等測試連網產品

小米智慧攝影機竟然能看到別人家!Google 緊急暫停小米智慧家庭產品權限

Team-Xecuter 成功破解 Nintendo Switch Lite 來玩遊戲

Twitter 漏洞導致輸入電話號碼即可找到主人帳號,超過 1,700萬筆電話號碼受影響

你還在用「123456」?2019 年度最差密碼名單出爐!

調查統計發現高達 61% 惡意廣告專門針對 Windows 攻擊,Chrome OS 排第二

圖片及資料來源:Check Point Research

好友人數

大家對網站文章上的一個讚、+1及轉分享,都是對我們的最好的鼓勵及繼續下去的原動力,請大家不要吝嗇。

發表迴響

這個網站採用 Akismet 服務減少垃圾留言。進一步了解 Akismet 如何處理網站訪客的留言資料

下一頁

堪稱操肌之王「硬舉」,告訴你 6 大優點及正確動作

週二 1 月 14 , 2020
「加三嘻行動哇 Yipee! 成為好友」 【Facebook、Youtube、Twitter、Ins […]
Shares