(原标题:刚曝光的抖音海外版缝隙:一个链接就能揭露你的私密视频,盗取隐私、接收帐号都不在话下)
鱼羊 发自 凹非寺
量子位 报导 | 大众号 QbitAI
TikTok,抖音海外版,今日因为一个缝隙,再次成为热议焦点。
这个安全缝隙,浅显来讲很简略:根据TikTok的根底架构规划,黑客能够有时机向用户发送歹意链接,然后“随心所欲。”
也就说抖音海外版这个“家”,门锁有问题,进犯者开门进去——能够揭露草稿箱视频、能够进一步盗取账户付出信息,乃至进一步还能接收用户帐号。
发现缝隙的研讨员说:考虑到TikTok全球有15亿用户,被心怀叵测之徒盯上就麻烦了。
所以究竟是一个怎样的缝隙?
抖音海外版安全缝隙
缝隙发现者,是一家全球闻名的以色列网络安全公司:Check Point。
总部坐落特拉维夫,供给IT安全软件和硬件服务,是公认的全球名列前茅的Internet安全解决方案供货商。
这种权威性,也让此次曝光的TikTok安全缝隙备受重视。
Check Point在研讨和攻防中发现,抖音海外版——TikTok的根底架构规划,使得黑客有时机向TikTok用户发送带有歹意链接的信息。
经过这个缝隙,黑客能够操作用户数据,攫取个人隐私数据。
在用户点击链接后,进犯者就能进一步发起进犯,接收其账户,包含上传视频、拜访私家视频。
具体来说,因为用户在注册TikTok时有必要供给手机号码(跟国内抖音相同),而黑客能够拜访到这些代码。所以,他们能伪装成“TikTok”,向用户发送信息,借此接收受害者账户操控权。
一旦进犯成功,黑客差不多能随心所欲:
删去视频,上传视频,揭露私有视频
将TikTok用户强制引向黑客操控的Web服务器,履行未经用户答应的操作恳求
将用户重定向到伪装成TikTok的歹意网站
发现缝隙的安全人员还解说:
因为缺少反跨站恳求假造机制,无需受害者赞同,进犯者就能够履行Javascript代码,代替受害者履行操作。
并且,一旦进犯者取得用户账户的部分操控权,就能够终究靠API调用,获取该用户的隐私信息,包含名字、电子邮箱、付款信息和生日等。
Check Point产品缝隙研讨负责人——奥德·瓦努努(Oded Vanunu)表明,TikTok在全球规划具有挨近15亿的用户数量,因为数据量巨大,这一产品成为了黑客的要点重视方针。
并且因为TikTok这样的运用程序能够在多个渠道上运用,因而歹意进犯很简略敏捷晋级。
从这个解说里,也暗示“缝隙”不止于抖音海外版——TikTok,究竟“15亿用户数量”,那就或许要把国内版别也核算在内了。
字节跳动回应:缝隙已修正
不过这个缝隙是否触及了抖音国内版?现在还不知道。
字节跳动官方也没解说和阐明。
但时刻上,缝隙被发现并提交的时刻是2019年11月,其时Check Point依照江湖规则,把缝隙报告给了字节跳动。
这以后12月15日,字节跳动方面回复:缝隙问题已得到修正——用的是TikTok之名。
但是,因为太平洋两岸局势,以及美国对我国公司旗下产品的隐私安全忧虑,这个缝隙不再是一个安全缝隙那么简略。
最近TikTok,刚因为被美军禁用引起过重视。
而现在“安全缝隙”,无异于火上浇油。
《纽约时报》就评论称,在美国军方制止战士运用抖音之后,Check Point发现的缝隙或许会使这样一些问题愈加杂乱。
Digital Trends也表明,TikTok正在遭到美国立法者的重视,而诸如此类的隐私缝隙会进一步加重这些忧虑。
纽约时报还指出,因为抖音的用户以年轻人为主,他们或许对安全更新并没那么介意,这也给黑客带来了待机而动。
尽管的确有点被针对,但抖音海外版,也是“欲戴王冠必承其重”。
抖音在海外有多火?
2017年以10亿美元的价格收买短视频运用Musical.ly之后,字节跳动将这一具有2.4亿注册用户的App与抖音国际版TikTok进行了兼并,面向国际商场。
尔后,抖音这一我国最受欢迎的短视频App,在海外商场也完成了病毒式扩张,成为包含美国、日本、法国、印度等多个国家下载量最高的交际软件,全球用户已挨近15亿。
在美国,TikTok有逾越1.1亿的下载量,屡次进入美国苹果运用商铺下载量前三甲。
在日本,据日本电视台NTV报导,移动互联网用户中每十个人里就有一个人运用或下载TikTok。
而据《巴黎人报》报导:38%的法国青少年(11岁至14岁)具有TikTok账号。
在印度,5亿智能手机用户里,有2亿都是TikTok用户。
其在青少年集体中的发展势头,俨然逾越Facebook、Instagram等一众社会化媒体。
连Facebook创始人扎克伯格都在内部会议上供认,TikTok是我国科技巨子在世界规划内首个表现出色的消费互联网产品。
PG One李小璐视频走漏事情就规划而言,我以为TikTok在印度现已逾越了Instagram
只不过意外的是,这个被美媒曝光的缝隙事情,有或许回答PG One的“抖音之问”,也有必定的或许还他一个其时“成心炒作”的洁白。
2019年10月底,三段李小璐和PGone同框视频,遽然流出,一石激起千层浪。
并且从视频方法、玩法等特色,很快被指向抖音渠道。
此前,PG One曾有过复出测验,所以视频流出后,不少吃瓜网友以为是“成心炒作”,借机复出。
但很快,PG One就长文回应,一方面解说与“嫂子”李小璐为何有如此恩爱视频,另一方面也清晰表明视频并非自动为之,并且提出责问:
为什么去年在抖音拍的视频,在没有一点别传的前提下会被放出来?
PG One的粉丝也以此支援:说唱歌手都real,不是就不是,并且的确视频没有渠道logo。
这以后还进一步有网友爆料,称该视频时抖音职工经过抖音后台,从PGone的草稿箱里下载下来的。
但抖音随即回应:草稿视频不会上传至后台。并表明会进一步打开查询。
其时也有眼尖的网友注意到,在抖音APP端的“隐私方针”中,有这样一条:当您发布音视频时,在点击“发布”承认上传之前,咱们或许会将该音视频暂时加载至服务器。
总归,一笔吃瓜糊涂账,一堂隐私安全争议课,最后跟大部分文娱热门相同,很快被忘记。
抖音官方后续也没有进一步再有揭露阐明。
TikTok回应缝隙
在缝隙曝光后,抖音海外版也宣布了揭露回应,英中版别全文如下:
Luke Deshotels, PhD, TikTok Security Team: “TikTok is committed to protecting user data. Like many organizations, we encourage responsible security researchers to privately disclose zero day vulnerabilities to us. Before public disclosure, CheckPoint agreed that all reported issues were patched in the latest version of our app. We hope that this successful resolution will encourage future collaboration with security researchers.”
TikTok安全团队的Luke Deshotels博士表明,“不久前,网络安全公司CheckPoint的研讨团队向咱们提交了他们发现的TikTok缝隙,咱们已在TikTok的上一版别APP中修正了相关缝隙。咱们感谢一起鼓舞更多白帽子团队用非揭露的方法向咱们供给线索,协助咱们发现、修正缝隙,维护用户网络安全。”
至于抖音国内版别是不是真的存在相似缝隙,还没有揭露阐明,不过如果有抖友忧虑,也能够及时更新最新版别。
从iOS版别迭代来看,12月刚好有一次大版别更新,但是否与缝隙修正相关?
版别更新材料和官方声明中都没有说。
咱们也问了字节跳动官方,到发稿尚无阐明。
嗯,就酱~~
参阅:
https:///2020/01/08/technology/tiktok-security-flaws.html?auth=login-google
https:///2020/1/8/21050589/tiktok-patched-vulnerability-hackers-videos-china-bytedance-checkpoint
https:///social-media/tiktok-sms-vulnerability/
https://threatpost.com/tiktok-riddled-with-security-flaws/151616/
https:///news/technology-51010408
