研究专家发现,中国抖音的海外版TikTok应用存在安全隐患,容易泄露个人信息。
这是以色列捷邦软件科技(Cross Point Software Technologies)公司1月8日公布的消息。媒体援引公司提供的消息说,公司研究人员近期发现,中国的TikTok应用软件容易遭到骇客攻击,导致电子邮件地址和敏感视频等个人信息泄漏。
具体方法是,骇客可以向TikTok用户发送一条含有恶意链接的短信,用户点击后,骇客就能进入用户的账户,删除视频,未经授权上传视频,或将私人视频公开,同时窃取存在账户内的邮箱地址等私人信息。
研究人员还发现,TikTok的广告网页(ads.tiktok.com)容易遭受“跨网站指令码(Cross-site Scripting)”的攻击。研究人员利用这个漏洞提取了TikTok用户账户内存放的信息,包括私人电子邮件地址和生日等。
研究人员因此警告说,社交媒体应用是骇客的主要攻击目标,大多数用户却不知情。
系统核心
捷邦软件科技公司产品漏洞研究部负责人瓦努努(Oded Vanunu)说,“我们发现的漏洞全部涉及TikTok系统的核心”。他并指出,“社交媒体应用非常容易遭受漏洞式的攻击,因为它们提供了私人数据的良好来源和理想的攻击平面门户。恶意行为人花费大量资金和功夫,努力渗入此类巨大的应用(软件)。但大多数用户都以为他们受到应用的保护”。
捷邦软件科技已将这项发现通知了TikTok。TikTok说,他们在2019年11月20日接到了通知,并在12月15日前修补了所有的漏洞。
TikTok 安全团队的迪舍太尔斯(Luke Deshotels)在一份声明中说,“TikTok致力于用户数据的保护。像很多组织一样,我们鼓励负责任的安全研究人员向我们私下透露零日漏洞(zero-day vulnerabilities)。捷邦软件科技同意在公开这些漏洞前,我们最新款应用的所有问题都得到修补。我们希望这次成功的解决将鼓励与安全研究人员的未来合作”。
TikTok应用存在的安全隐患已经引发美国政府的密切关注,并对此展开了国家安全调查。美国陆军和海军2019年底禁止所属人员在政府手机上安装使用TikTok的应用。以色列边防警察也出于安全的考虑禁止所属人员使用TikTok应用。