抖音海外版漏洞曝光:一个链接就能公开你的私密视频 还能接管帐号

由于用户在注册TikTok时必须提供手机号码(跟国内抖音一样),而黑客可以访问到这些代码。于是,他们能伪装成“TikTok”,向用户发送信息,借此接管受害者账户控制权。

鱼羊 发自 凹非寺

量子位 报道 | 公众号 QbitAI

TikTok,抖音海外版,今天因为一个漏洞,再次成为热议焦点。

这个安全漏洞,通俗来讲很简单:基于TikTok的基础架构设计,黑客可以有机会向用户发送恶意链接,然后“为所欲为。”

也就说抖音海外版这个“家”,门锁有问题,攻击者开门进去——可以公开草稿箱视频、可以进一步窃取账户支付信息,甚至进一步还能接管用户帐号。

发现漏洞的研究员说:考虑到TikTok全球有15亿用户,被别有用心之徒盯上就麻烦了。

所以究竟是一个怎样的漏洞?

漏洞发现者,是一家全球知名的以色列网络安全公司:Check Point

总部位于特拉维夫,提供IT安全软件和硬件服务,是公认的全球首屈一指的Internet安全解决方案供应商。

这种权威性,也让此次曝光的TikTok安全漏洞备受关注。

Check Point在研究和攻防中发现,抖音海外版——TikTok的基础架构设计,使得黑客有机会向TikTok用户发送带有恶意链接的信息。

通过这个漏洞,黑客能够操纵用户数据,攫取个人隐私数据


具体来说,由于用户在注册TikTok时必须提供手机号码(跟国内抖音一样),而黑客可以访问到这些代码。于是,他们能伪装成“TikTok”,向用户发送信息,借此接管受害者账户控制权。

一旦攻击成功,黑客差不多能为所欲为:删除视频,上传视频,公开私有视频

将TikTok用户强制引向黑客控制的Web服务器,执行未经用户许可的操作请求

将用户重定向到伪装成TikTok的恶意网站

发现漏洞的安全人员还解释:由于缺乏反跨站请求伪造机制,无需受害者同意,攻击者就可以执行JavaScript代码,替代受害者执行操作。

并且,一旦攻击者获得用户账户的部分控制权,就可以通过API调用,获取该用户的隐私信息,包括姓名、电子邮箱、付款信息和生日等。

Check Point产品漏洞研究负责人——奥德·瓦努努(Oded Vanunu)表示,TikTok在全球范围拥有接近15亿的用户数量,由于数据量巨大,这一产品成为了黑客的重点关注目标。

而且由于TikTok这样的应用程序可以在多个平台上使用,因此恶意攻击很容易迅速升级。

从这个解释里,也暗示“漏洞”不止于抖音海外版——TikTok,毕竟“15亿用户数量”,那就可能要把国内版本也计算在内了。

字节跳动回应:漏洞已修复

不过这个漏洞是否涉及了抖音国内版?目前还不知道。

字节跳动官方也没解释和说明。

但时间上,漏洞被发现并提交的时间是2019年11月,当时Check Point按照江湖规矩,把漏洞报告给了字节跳动。

其后12月15日,字节跳动方面回复:漏洞问题已得到修复——用的是TikTok之名。

然而,由于太平洋两岸形势,以及美国对中国公司旗下产品的隐私安全担忧,这个漏洞不再是一个安全漏洞那么简单。

最近TikTok,刚因为被美军禁用引起过关注。

而现在“安全漏洞”,无异于火上浇油。

《纽约时报》就评论称,在美国军方禁止士兵使用抖音之后,Check Point发现的漏洞可能会使这些问题更加复杂。

Digital Trends也表示,TikTok正在受到美国立法者的关注,而诸如此类的隐私漏洞会进一步加剧这些担忧。

纽约时报还指出,由于抖音的用户以年轻人为主,他们可能对安全更新并没有那么在意,这也给黑客带来了可乘之机。

虽然确实有点被针对,但抖音海外版,也是“欲戴王冠必承其重”。

抖音在海外有多火?

2017年以10亿美元的价格收购短视频应用Musical.ly之后,字节跳动将这一拥有2.4亿注册用户的App与抖音国际版TikTok进行了合并,推向国际市场。

此后,抖音这一中国最受欢迎的短视频App,在海外市场也实现了病毒式扩张,成为包括美国、日本、法国、印度等多个国家下载量最高的社交软件,全球用户已接近15亿。

在美国,TikTok有超过1.1亿的下载量,多次进入美国苹果应用商店下载量前三甲。

在日本,据日本电视台NTV报道,移动互联网用户中每十个人里就有一个人使用或下载TikTok。

而据《巴黎人报》报道:38%的法国青少年(11岁至14岁)拥有TikTok账号。

在印度,5亿智能手机用户里,有2亿都是TikTok用户。

其在青少年群体中的发展势头,俨然超过Facebook、Instagram等一众社交媒体。

连Facebook创始人扎克伯格都在内部会议上承认,TikTok是中国科技巨头在世界范围内首个表现出色的消费互联网产品。

就规模而言,我认为TikTok在印度已经超越了Instagram

PG One李小璐视频泄露事件

只不过意外的是,这个被美媒曝光的漏洞事件,有可能解答PG One的“抖音之问”,也有可能还他一个当时“故意炒作”的清白。

2019年10月底,三段李小璐和PGone同框视频,忽然流出,一石激起千层浪。

而且从视频形式、玩法等特点,很快被指向抖音平台。

此前,PG One曾有过复出尝试,于是视频流出后,不少吃瓜网友认为是“故意炒作”,借机复出。

但很快,PG One就长文回应,一方面解释与“嫂子”李小璐为何有如此恩爱视频,另一方面也明确表示视频并非主动为之,并且提出质问:

为什么去年在抖音拍的视频,在没有任何外传的前提下会被放出来?

PG One的粉丝也以此声援:说唱歌手都real,不是就不是,而且确实视频没有平台logo。

其后还进一步有网友爆料,称该视频时抖音员工通过抖音后台,从PGone的草稿箱里下载下来的。

但抖音随即回应:草稿视频不会上传至后台。并表示会进一步展开调查。

当时也有眼尖的网友注意到,在抖音APP端的“隐私政策”中,有这样一条:当您发布音视频时,在点击“发布”确认上传之前,我们可能会将该音视频临时加载至服务器。


总之,一笔吃瓜糊涂账,一堂隐私安全争议课,最后跟大部分娱乐热点一样,很快被遗忘。

抖音官方后续也没有进一步再有公开说明。

TikTok回应漏洞

在漏洞曝光后,抖音海外版也发表了公开回应,英中版本全文如下:

Luke Deshotels, PhD, TikTok Security Team: “TikTok is committed to protecting user data. Like many organizations, we encourage responsible security researchers to privately disclose zero day vulnerabilities to us. Before public disclosure, CheckPoint agreed that all reported issues were patched in the latest version of our app. We hope that this successful resolution will encourage future collaboration with security researchers.”

TikTok安全团队的Luke Deshotels博士表示,“不久前,网络安全公司CheckPoint的研究团队向我们提交了他们发现的TikTok漏洞,我们已经在TikTok的上一版本APP中修复了相关漏洞。我们感谢同时鼓励更多白帽子团队用非公开的方式向我们提供线索,帮助我们发现、修复漏洞,保护用户网络安全。”

至于抖音国内版本是否存在类似漏洞,还没有公开说明,不过如果有抖友担忧,也可以及时更新最新版本。


从iOS版本迭代来看,12月刚好有一次大版本更新,但是否与漏洞修复相关?

版本更新资料和官方声明中都没有说。

我们也问了字节跳动官方,截至发稿尚无说明。

嗯,就酱~~

参考:

https://www.nytimes.com/2020/01/08/technology/tiktok-security-flaws.html?auth=login-google

https://www.theverge.com/2020/1/8/21050589/tiktok-patched-vulnerability-hackers-videos-china-bytedance-checkpoint

https://www.digitaltrends.com/social-media/tiktok-sms-vulnerability/

https://threatpost.com/tiktok-riddled-with-security-flaws/151616/

https://www.bbc.com/news/technology-51010408