全球網路安全解決方案領導廠商Check Point® Software Technologies Ltd.(NASDAQ股票代碼:CHKP)威脅情報部門Check Point Research今日揭露高人氣短影音平台TikTok的多項資安漏洞,包含允許攻擊者操縱使用者帳戶內容,甚至竊取保存在其中的個人機密資訊。 TikTok使用者以青少年和兒童為主,他們用來分享、儲存自己及親友的私人影片,有時也涵蓋非常敏感內容。Check Point Research發現,攻擊者可以向使用者發送一則包含惡意連結的偽造訊息。一旦使用者點擊這條惡意連結,攻擊者便能控制其TikTok帳戶並進行各種惡意操作,如刪除影片、上傳未經授權的影片以及將私人或「隱藏」影片公開等。
除此之外,TikTok 的子網域 https://ads.tiktok.com 很容易受到跨站指令碼(XSS)攻擊,這類攻擊是透過將惡意網頁程式碼(Malicious Script)植入原本安全可信的網站中進行的。Check Point研究人員利用這一漏洞即搜尋到了使用者帳戶中的個人資訊,包括個人電子信箱和生日。
Check Point Research向TikTok開發人員揭露了這次發現的漏洞,TikTok也已發布了修補程式,確保其使用者可以繼續安全地使用TikTok。
Check Point產品漏洞研究主管Oded Vanunu表示:「資料無處不在,但外洩事件卻頻繁發生,我們最新研究指出,一些最受歡迎的應用程式也在劫難逃。社群媒體應用程式極易遭到漏洞攻擊,因其擁有大量的私人資料及大面積的攻擊範圍。攻擊者正在花高成本、下大功夫向這些使用者量龐大的應用程式發起攻擊,但大多數使用者仍認為自己使用的應用程式非常安全。」
TikTok安全團隊Luke Deshotels博士表示:「TikTok高度重視使用者資料安全。跟許多企業一樣,我們鼓勵負責的安全研究人員向我們秘密揭發零時差漏洞;在公開漏洞之前,Check Point已確認最新版TikTok修復了這次所有發現的問題。我們希望透過這次順利化解危機,能促進未來更多類似的安全合作機會。」
TikTok覆蓋全球150多個國家和地區,提供75種語言,使用者數量超過10億,是下載次數最多的應用程式之一。截至2019年10月,TikTok為美國應用程式下載量排行榜榜首,是第一個創造此記錄的中國應用程式。
有關這項研究的更多資訊,請查看Check Point Research部落格。
- 新聞稿有效日期,至2020/01/14 為止
■ 我在中國工作的日子(十四)阿里巴巴敢給股票 - 2023/07/02
■ 我在中國工作的日子(十三)上億會員怎麼管理 - 2023/06/25
■ 我在中國工作的日子(十二)最好的公司支付寶 - 2023/06/18
■ 我在中國工作的日子(十一)兩個女人一個男人 - 2023/06/11
■ 我在中國工作的日子(十)千團大戰影音帶貨 - 2023/06/04
■ 我在中國工作的日子(九)電視購物轉型電商 - 2023/05/28
■ 我在中國工作的日子(八)那些從台灣來的人 - 2023/05/21
■ 我在中國工作的日子(七)嘉丰資本擦身而過 - 2023/05/14
■ 我在中國工作的日子(六)跟阿福有關的人們 - 2023/05/07
Information
上一篇:恩智浦首次推出具備專用神經處理引擎的i.MX應用處理器
下一篇:CES 2020閉幕亮點:人工智慧結合5G定義創新未來
