來自中國的抖音有推出海外版 TikTok,不過其內容審查以至數據處理方式都一直引起疑慮,最近有安全解決方案供應商發現在 TikTok 中找到大量漏洞,有機會讓攻擊者操縱用戶的內容,甚至提取帳戶的個人機密資料,相當危險。
網絡安全解決方案供應商 Check Point 軟件技術有限公司的威脅情報部門 Check Point Research 最近公佈一份報告,表示在 TikTok 發現多個漏洞,攻擊者可以向用戶發送含有惡意連結的偽造短訊,當用戶點擊這條惡意連結,攻擊者便能夠控制其 TikTok 帳戶並進行各種惡意操作,例如刪除影片、上傳未經授權的影片以及將私人或「隱藏」影片公開等。
此外,他們發現 TikTok 的子域 https://ads.tiktok.com 容易受到 XSS 攻擊,透過將惡意腳本注入到原本安全可信的網站中進行攻擊。使用這個漏洞,攻擊者可以搜尋用戶帳戶中儲存的個人資料,包括個人電子郵件地址和生日日期。而今次事件已經通報 TikTok,TikTok 方面亦已經在漏洞公開前完成修復。
Check Point 產品漏洞研究主管 Oded Vanunu 表示:「數據無處不在,數據洩漏頻頻發生,我們的最新研究顯示,一些最受歡迎的應用程式也在劫難逃。社交媒體應用程式極易遭到漏洞攻擊,因為它們擁有大量的私人數據以及較大的攻擊面。攻擊者正在花大成本、下大功夫向這些體量龐大的應用程式發起攻擊。然而,大多數用戶還認為自己使用的應用程式非常安全。」
