刚曝光的抖音海外版漏洞:一个链接就能公开你的私密视频,窃取隐私、接管帐号都不在话下


刚曝光的抖音海外版漏洞:一个链接就能公开你的私密视频,窃取隐私、接管帐号都不在话下                                                                                                                    鱼羊 发自 凹非寺量子位 报道 | 公众号 QbitAITikTok,抖音海外版,今天因为一个漏洞,再次成为热议焦点。

这个安全漏洞,通俗来讲很简单:基于TikTok的基础架构设计,黑客可以有机会向用户发送恶意链接,然后“为所欲为。”

也就说抖音海外版这个“家”,门锁有问题,攻击者开门进去——可以公开草稿箱视频、可以进一步窃取账户支付信息,甚至进一步还能接管用户帐号。

发现漏洞的研究员说:考虑到TikTok全球有15亿用户,被别有用心之徒盯上就麻烦了。

所以究竟是一个怎样的漏洞?

抖音海外版安全漏洞漏洞发现者,是一家全球知名的以色列网络安全公司:Check Point。

总部位于特拉维夫,提供IT安全软件和硬件服务,是公认的全球首屈一指的Internet安全解决方案供应商。

这种权威性,也让此次曝光的TikTok安全漏洞备受关注。

Check Point在研究和攻防中发现,抖音海外版——TikTok的基础架构设计,使得黑客有机会向TikTok用户发送带有恶意链接的信息。

通过这个漏洞,黑客能够操纵用户数据,攫取个人隐私数据。

在用户点击链接后,攻击者就能进一步发动攻击,接管其账户,包括上传视频、访问私人视频。

具体来说,由于用户在注册TikTok时必须提供手机号码(跟国内抖音一样),而黑客可以访问到这些代码。于是,他们能伪装成“TikTok”,向用户发送信息,借此接管受害者账户控制权。

一旦攻击成功,黑客差不多能为所欲为:

  • 删除视频,上传视频,公开私有视频

  • 将TikTok用户强制引向黑客控制的Web服务器,执行未经用户许可的操作请求

  • 将用户重定向到伪装成TikTok的恶意网站

  • 发现漏洞的安全人员还解释:

    由于缺乏反跨站请求伪造机制,无需受害者同意,攻击者就可以执行JavaScript代码,替代受害者执行操作。

    并且,一旦攻击者获得用户账户的部分控制权,就可以通过API调用,获取该用户的隐私信息,包括姓名、电子邮箱、付款信息和生日等。

    Check Point产品漏洞研究负责人——奥德·瓦努努(Oded Vanunu)表示,TikTok在全球范围拥有接近15亿的用户数量,由于数据量巨大,这一产品成为了黑客的重点关注目标。

    而且由于TikTok这样的应用程序可以在多个平台上使用,因此恶意攻击很容易迅速升级。

    从这个解释里,也暗示“漏洞”不止于抖音海外版——TikTok,毕竟“15亿用户数量”,那就可能要把国内版本也计算在内了。

    字节跳动回应:漏洞已修复不过这个漏洞是否涉及了抖音国内版?目前还不知道。

    字节跳动官方也没解释和说明。

    但时间上,漏洞被发现并提交的时间是2019年11月,当时Check Point按照江湖规矩,把漏洞报告给了字节跳动。

    其后12月15日,字节跳动方面回复:漏洞问题已得到修复——用的是TikTok之名。

    然而,由于太平洋两岸形势,以及美国对中国公司旗下产品的隐私安全担忧,这个漏洞不再是一个安全漏洞那么简单。

    最近TikTok,刚因为被美军禁用引起过关注。

    而现在“安全漏洞”,无异于火上浇油。

    《纽约时报》就评论称,在美国军方禁止士兵使用抖音之后,Check Point发现的漏洞可能会使这些问题更加复杂。

    Digital Trends也表示,TikTok正在受到美国立法者的关注,而诸如此类的隐私漏洞会进一步加剧这些担忧。

    纽约时报还指出,由于抖音的用户以年轻人为主,他们可能对安全更新并没有那么在意,这也给黑客带来了可乘之机。

    虽然确实有点被针对,但抖音海外版,也是“欲戴王冠必承其重”。

    抖音在海外有多火?

    2017年以10亿美元的价格收购短视频应用Musical.ly之后,字节跳动将这一拥有2.4亿注册用户的App与抖音国际版TikTok进行了合并,推向国际市场。

    此后,抖音这一中国最受欢迎的短视频App,在海外市场也实现了病毒式扩张,成为包括美国、日本、法国、印度等多个国家下载量最高的社交软件,全球用户已接近15亿。

    在美国,TikTok有超过1.1亿的下载量,多次进入美国苹果应用商店下载量前三甲。

    在日本,据日本电视台NTV报道,移动互联网用户中每十个人里就有一个人使用或下载TikTok。

    而据《巴黎人报》报道:38%的法国青少年(11岁至14岁)拥有TikTok账号。

    在印度,5亿智能手机用户里,有2亿都是TikTok用户。

    其在青少年群体中的发展势头,俨然超过Facebook、Instagram等一众社交媒体。

    连Facebook创始人扎克伯格都在内部会议上承认,TikTok是中国科技巨头在世界范围内首个表现出色的消费互联网产品。

    就规模而言,我认为TikTok在印度已经超越了Instagram

    PG One李小璐视频泄露事件只不过意外的是,这个被美媒曝光的漏洞事件,有可能解答PG One的“抖音之问”,也有可能还他一个当时“故意炒作”的清白。

    2019年10月底,三段李小璐和PGone同框视频,忽然流出,一石激起千层浪。

    而且从视频形式、玩法等特点,很快被指向抖音平台。

    此前,PG One曾有过复出尝试,于是视频流出后,不少吃瓜网友认为是“故意炒作”,借机复出。

    但很快,PG One就长文回应,一方面解释与“嫂子”李小璐为何有如此恩爱视频,另一方面也明确表示视频并非主动为之,并且提出质问:

    为什么去年在抖音拍的视频,在没有任何外传的前提下会被放出来?

    PG One的粉丝也以此声援:说唱歌手都real,不是就不是,而且确实视频没有平台logo。

    其后还进一步有网友爆料,称该视频时抖音员工通过抖音后台,从PGone的草稿箱里下载下来的。

    但抖音随即回应:草稿视频不会上传至后台。并表示会进一步展开调查。

    当时也有眼尖的网友注意到,在抖音APP端的“隐私政策”中,有这样一条:当您发布音视频时,在点击“发布”确认上传之前,我们可能会将该音视频临时加载至服务器。

    总之,一笔吃瓜糊涂账,一堂隐私安全争议课,最后跟大部分娱乐热点一样,很快被遗忘。

    抖音官方后续也没有进一步再有公开说明。

    TikTok回应漏洞在漏洞曝光后,抖音海外版也发表了公开回应,英中版本全文如下:

    Luke Deshotels, PhD, TikTok Security Team: “TikTok is committed to protecting user data. Like many organizations, we encourage responsible security researchers to privately disclose zero day vulnerabilities to us. Before public disclosure, CheckPoint agreed that all reported issues were patched in the latest version of our app. We hope that this successful resolution will encourage future collaboration with security researchers.”

    TikTok安全团队的Luke Deshotels博士表示,“不久前,网络安全公司CheckPoint的研究团队向我们提交了他们发现的TikTok漏洞,我们已经在TikTok的上一版本APP中修复了相关漏洞。我们感谢同时鼓励更多白帽子团队用非公开的方式向我们提供线索,帮助我们发现、修复漏洞,保护用户网络安全。”

    至于抖音国内版本是否存在类似漏洞,还没有公开说明,不过如果有抖友担忧,也可以及时更新最新版本。

    从iOS版本迭代来看,12月刚好有一次大版本更新,但是否与漏洞修复相关?

    版本更新资料和官方声明中都没有说。

    我们也问了字节跳动官方,截至发稿尚无说明。

    嗯,就酱~~

    参考:

    https://www.nytimes.com/2020/01/08/technology/tiktok-security-flaws.html?auth=login-google
    https://www.theverge.com/2020/1/8/21050589/tiktok-patched-vulnerability-hackers-videos-china-bytedance-checkpoint

    https://www.digitaltrends.com/social-media/tiktok-sms-vulnerability/

    https://threatpost.com/tiktok-riddled-with-security-flaws/151616/

    https://www.bbc.com/news/technology-51010408

    作者系网易新闻·网易号“各有态度”签约作者


    — 完 —

    AI内参|把握AI发展新机遇

    拓展优质人脉,获取最新AI资讯&论文教程,欢迎加入AI内参社群一起学习~

    跟大咖交流 | 进入AI社群


    量子位 QbitAI · 头条号签约作者



    վ'ᴗ' ի 追踪AI技术和产品新动态


    喜欢就点「在看」吧 !



    源链接   来源:user   日期:2020-01-09 13:54:40  

    推荐文章

    速率、拍照、节能、AI全面领先,高通骁龙865移动平台成最强5G芯片

    骁龙865可以提供高达7.5Gbps的峰值速率,具有第五代Qualcomm®人工智能引擎AI  Engine和全新Qualcomm®传感器中枢,支持的极速十亿像素级处理能力,强大的CPU和GPU为下一代旗舰终端提供了出色的处理能力,其中新一代Qualcomm®  Kryo™  585  CPU的性能提升高达25%,全新Qualcomm®  Adreno™  650  GPU的整体性能较前代平台[1]提升25%。此此外,在OEM厂商提供Adreno  GPU可更新驱动之后,骁龙865首次在移动终端上支持用户直接从应用商店下载驱动,对于玩家而言,他们可以掌控图形驱动更新和GPU设置,从而让头部游戏实现顶级性能。


    36氪首发|落地线下零售AI整体解决方案,「Aibee」获锴明投资和芯动能投资联合领投7400万美元A1轮融资

    Aibee成立于2017年底,公司定位线下零售场景,提供AI技术整体解决方案。


    卡门简报 | 青岛五道口将成奇瑞最大股东;大众因排放丑闻再遭突击搜查;特斯拉有望提前交付Model Y

    福建奔驰CEO:高端MPV市场需求不断提升,中国市场仍存很大潜力近日,针对福建奔驰本身,福建奔驰总裁兼首席执行官郭鹏凯预测,“国内精英人士的出行与休闲需求将变得更加个性化、多样化。整理  |  牛晓通头条奇瑞增资扩股项目落定,青岛五道口斥资144.5亿成最大股东12月4日,长江产权交易所发布公告称,奇瑞控股集团有限公司、奇瑞汽车股份有限公司增资扩股项目成交,青岛五道口新能源汽车产业基金企业成为奇瑞控股、、奇瑞股份的新股东。


    十万不到的车也必须拥有智能网联

    新宝骏同样拿出了一组数据,用户手机摇一摇打开车门117386次。官方提供了一组数据,新宝骏RM-5/RC-6上市后,防碰撞预警共生效2132次。用户累计与语音AI互动1464071次


    高通公布骁龙865/765芯片细节,这些都是明年Android新机能用上的特性

    总得来看,高通骁龙865和765芯片还是把重点放在了5G、摄影和、AI和游戏等部分,这其实也是紧跟了近几年手机厂商的产品定位,比如越来越多的摄像头设计和超高像素传感器,还有游戏手机、云游戏等专业领域的需求驱动。