2020年1月9日星期四

抖音国际版TikTok爆出多个重大安全漏洞

根据以色列网络安全公司Check Point周三发布的研究报告,在全球拥有上亿用户、深受青少年喜爱的智能手机应用TikTok存在严重的安全,黑客可以利用这些漏洞操纵并泄露

这些漏洞可以让攻击者向TikTok用户发送带有恶意链接的消息。用户点击链接后,攻击者就能够控制他们的帐户,包括上传视频或访问私密视频。通过另一个漏洞,Check Point研究人员可以从该公司网站上获取TikTok用户账户的个人信息。

Check Point产品漏洞研究奥代德·瓦努努(Oded Vanunu)说:“我们发现的漏洞都在TikTok系统的核心部分。”

TikTok于11月20日了解到Check Point的研究结论,并表示已在12月15日之前修复了所有漏洞。

这个母公司位于北京的,被称为“互联网上最后一个阳光明媚的角落”。用户可以在上面发布简短的创意视频,并轻松分享到各种应用程序上。

它也成为了对中国技术存疑的立法者和监管者的目标。军方的几个部门已经下了禁令,不许在配发的智能手机上使用该应用程序。Check Point发现的漏洞可能会加剧这些担忧。

在过去的两年中,TikTok的式增长成为互联网在西方取得成功的罕见案例。根据数据公司感应塔(Sensor Tower)的数据,该应用已被下载超过15亿次。该研究公司表示,到2019年底,TikTok的下载量即将超越Facebook、Instagram、YouTube和Snap等更加知名的应用程序。

但是,像TikTok这样的新应用程序为黑客提供了机会,这些黑客以多年未经安全研究测试的服务和现实世界的攻击为目标。而且它的许多用户还很年轻,也许对安全更新并不关心。

“TikTok致力于保护用户数据,”TikTok安全团队负责人鲁克·迪舍泰尔斯(Luke Deshotels)说。

“像许多组织一样,我们鼓励负责任的安全研究人员私下向我们披露零日漏洞(zero day vulnerabilities),”他补充说。“在公开披露之前,Check Point同意所有报告的问题在应用程序的最新版本中进行修补。我们希望这次成功的解决将鼓励安全研究人员在未来的合作。”

迪舍泰尔斯说,用户记录中没有迹象表明发生了入侵或攻击。

TikTok的母公司字节跳动(ByteDance)是世界上最有价值的科技创业公司之一。但是TikTok源于中国,在那里,任何一家大公司没有获得政府的好感是难以茁壮成长的,加之TikTok的流行程度,这促使人们对该应用程序的内容政策和数据实践进行了严格审查。

TikTok审查中国政府不喜欢的内容并允许北京收集用户数据的做法,已经引起了美国立法者的担忧。TikTok否认了这两项指控。该公司还表示,尽管字节跳动的总部位于北京,但TikTok的区域经理在运营方面有很大的自主权。

Check Point的情报小组检验了入侵TikTok用户帐户的容易程度。检验发现,该应用程序的各种功能(包括发送视频文件)都存在安全问题。

另一网络安全公司Lookout的研究负责人克里斯托夫·哈巴森(Christoph Hebeisen)说:“TikTok可能更着重于快速增长并为用户构建新功能,而不是巩固安全性,像这样的公司有是在我预料之中的。”

其中一个漏洞使攻击者可以使用TikTok消息系统中的链接向用户发送看似来自TikTok的消息。Check Point研究人员通过给自己发送带有恶意软件的链接来测试漏洞,该恶意软件使他们可以控制帐户、上传内容、删除视频并公开私密视频。

研究人员还发现,TikTok的网站容易受到某种攻击,该攻击会将恶意代码注入受信任的网站。Check Point研究人员通过这种方法能够检索用户的个人信息,包括姓名和出生日期。

Check Point将其调查结果摘要发送给了美国国土安全部。

美国海外投资委员会(The Committee on Foreign Investment in the United States)是一个在国家安全层面对投资交易进行审查的小组,它在调查字节跳动2017年对Musical.ly的收购,这是一个对口型唱歌应用程序,该公司后来合并到TikTok中。这项交易为TikTok在欧美的快速崛起奠定了基础。

公司的数据隐私惯例也令人担忧。2月,联邦贸易委员会(Federal Trade Commission)对TikTok提出投诉,称其非法收集未成年人的个人信息。投诉称,Musical.ly违反了《儿童在线隐私保护法》(Children’s Online Privacy Protection Act,以下简称COPPA),该法要求网站和在线公司在收集个人信息之前,要求13岁以下的儿童征得父母的同意。

TikTok同意支付570万美元达成和解,并表示将遵守COPPA。英国信息专员办公室仍在对TikTok进行调查,以确定它是否违反了为未成年人及其数据提供特殊保护的欧洲隐私法。

来源:纽约时报

没有评论:

发表评论