首页 > 抖音快手资讯 > 刚曝光的抖音海外版漏洞:一个链接就能公开你的私密视频窃取隐私、接管帐号都不在话下
2022
10-30

刚曝光的抖音海外版漏洞:一个链接就能公开你的私密视频窃取隐私、接管帐号都不在话下

  建国后首次!华科副研究员以独作身份投中数学顶刊,曾因换方向重读博士7年

  华为确认53岁高管丁耘骤逝:执掌最大营收业务,东南大学毕业,在职已超26年

  北美贾跃亭判了!靠一台道具车狂奔上市,340亿美元巅峰市值一度超越福特

  特斯拉机器人发布!马斯克:最快明年量产,价格不到14万,搬砖送货都能干

  华为苏箐被曝转投大众汽车:最狂智能车高管,因抨击特斯拉丢工作,任正非亲自签发罢免令

  TI有奖直播C2000 F280013x实现更低成本且更高效的实时控制方案

  有奖报名 安富利邀您参与2022国际工业博览会!(11月3日-12月4日,上海)

  分享赢【蓝牙耳机、保温杯、车载无线充】|MPS带您快速探究【电源设计】秘密

  评论赢【京东卡、适配器】|MPS 邀您围观【DIY 多功能电工台】选型视频

  有奖直播瑞萨电子 RA 系列产品开发工具之 FSP4.0.0 新特性介绍

  i.MX 8M Plus加持的AI领域的里程碑开发板长什么样?200元优惠券等你来领

  Microchip《业内首款集图形、触摸和机器学习于一体的人机交互(HMI)解决方案》在线研讨会明日举行

  拼多多被曝6万人参与砍价失败,官方否认,涉事主播放出证据称:没有砍成功,砍到小数点后5位就砍不动了;盒马回应售卖活鳄鱼|雷峰早报

  alpitronic用英飞凌CoolSiC™模块及驱动器 打造50 kW超级充电桩

  特斯拉官网下架“全自动驾驶”选项;马蜂窝回应“数据抄袭”;美媒:在欧预装谷歌应用要收费 雷锋早报

  京东与中科院、新泽西理工共同成立区块链联合实验室,推动区块链底层技术研发

  这个安全漏洞,通俗来讲很简单:基于TikTok的基础架构设计,黑客可以有机会向用户发送恶意链接,然后“为所欲为。”

  也就说抖音海外版这个“家”,门锁有问题,攻击者开门进去——可以公开草稿箱视频、可以进一步窃取账户支付信息,甚至进一步还能接管用户帐号。

  发现漏洞的研究员说:考虑到TikTok全球有15亿用户,被别有用心之徒盯上就麻烦了。

  漏洞发现者,是一家全球知名的以色列网络安全公司:Check Point。

  总部位于特拉维夫,提供IT安全软件和硬件服务,是公认的全球首屈一指的Internet安全解决方案供应商。

  Check Point在研究和攻防中发现,抖音海外版——TikTok的基础架构设计,使得黑客有机会向TikTok用户发送带有恶意链接的信息。

  在用户点击链接后,攻击者就能进一步发动攻击,接管其账户,包括上传视频、访问私人视频。

  具体来说,由于用户在注册TikTok时必须提供手机号码(跟国内抖音一样),而黑客可以访问到这些代码。于是,他们能伪装成“TikTok”,向用户发送信息,借此接管受害者账户控制权。

  将TikTok用户强制引向黑客控制的Web服务器,执行未经用户许可的操作请求

  由于缺乏反跨站请求伪造机制,无需受害者同意,攻击者就可以执行JavaScript代码,替代受害者执行操作。

  并且,一旦攻击者获得用户账户的部分控制权,就可以通过API调用,获取该用户的隐私信息,包括姓名、电子邮箱、付款信息和生日等。

  Check Point产品漏洞研究负责人——奥德·瓦努努(Oded Vanunu)表示,TikTok在全球范围拥有接近15亿的用户数量,由于数据量巨大,这一产品成为了黑客的重点关注目标。

  而且由于TikTok这样的应用程序可以在多个平台上使用,因此恶意攻击很容易迅速升级。

  从这个解释里,也暗示“漏洞”不止于抖音海外版——TikTok,毕竟“15亿用户数量”,那就可能要把国内版本也计算在内了。

  但时间上,漏洞被发现并提交的时间是2019年11月,当时Check Point按照江湖规矩,把漏洞报告给了字节跳动。

  其后12月15日,字节跳动方面回复:漏洞问题已得到修复——用的是TikTok之名。

  然而,由于太平洋两岸形势,以及美国对中国公司旗下产品的隐私安全担忧,这个漏洞不再是一个安全漏洞那么简单。

  《纽约时报》就评论称,在美国军方禁止士兵使用抖音之后,Check Point发现的漏洞可能会使这些问题更加复杂。

  Digital Trends也表示,TikTok正在受到美国立法者的关注,而诸如此类的隐私漏洞会进一步加剧这些担忧。

  纽约时报还指出,由于抖音的用户以年轻人为主,他们可能对安全更新并没有那么在意,这也给黑客带来了可乘之机。

  2017年以10亿美元的价格收购短视频应用Musical.ly之后,字节跳动将这一拥有2.4亿注册用户的App与抖音国际版TikTok进行了合并,推向国际市场。

  此后,抖音这一中国最受欢迎的短视频App,在海外市场也实现了病毒式扩张,成为包括美国、日本、法国、印度等多个国家下载量最高的社交软件,全球用户已接近15亿。

  在美国,TikTok有超过1.1亿的下载量,多次进入美国苹果应用商店下载量前三甲。

  在日本,据日本电视台NTV报道,移动互联网用户中每十个人里就有一个人使用或下载TikTok。

  而据《巴黎人报》报道:38%的法国青少年(11岁至14岁)拥有TikTok账号。

  其在青少年群体中的发展势头,俨然超过Facebook、Instagram等一众社交媒体。

  连Facebook创始人扎克伯格都在内部会议上承认,TikTok是中国科技巨头在世界范围内首个表现出色的消费互联网产品。

  只不过意外的是,这个被美媒曝光的漏洞事件,有可能解答PG One的“抖音之问”,也有可能还他一个当时“故意炒作”的清白。

  2019年10月底,三段李小璐和PGone同框视频,忽然流出,一石激起千层浪。

  此前,PG One曾有过复出尝试,于是视频流出后,不少吃瓜网友认为是“故意炒作”,借机复出。

  但很快,PG One就长文回应,一方面解释与“嫂子”李小璐为何有如此恩爱视频,另一方面也明确表示视频并非主动为之,并且提出质问:

  PG One的粉丝也以此声援:说唱歌手都real,不是就不是,而且确实视频没有平台logo。

  其后还进一步有网友爆料,称该视频时抖音员工通过抖音后台,从PGone的草稿箱里下载下来的。

  当时也有眼尖的网友注意到,在抖音APP端的“隐私政策”中,有这样一条:当您发布音视频时,在点击“发布”确认上传之前,我们可能会将该音视频临时加载至服务器。

  总之,一笔吃瓜糊涂账,一堂隐私安全争议课,最后跟大部分娱乐热点一样,很快被遗忘。

  TikTok安全团队的Luke Deshotels博士表示,“不久前,网络安全公司CheckPoint的研究团队向我们提交了他们发现的TikTok漏洞,我们已经在TikTok的上一版本APP中修复了相关漏洞。我们感谢同时鼓励更多白帽子团队用非公开的方式向我们提供线索,帮助我们发现、修复漏洞,保护用户网络安全。”

  至于抖音国内版本是否存在类似漏洞,还没有公开说明,不过如果有抖友担忧,也可以及时更新最新版本。

  从iOS版本迭代来看,12月刚好有一次大版本更新,但是否与漏洞修复相关?

  拓展优质人脉,获取最新AI资讯&论文教程,欢迎加入AI内参社群一起学习~

  量子位「MEET 2023智能未来大会」启动,邀你共论智能产业穿越周期之道

  特斯拉突降价引维权/ 蔚来20亿成立电池公司/ Mobileye跳水价IPO“只为打开市场”…今日更多新鲜事在此

  靠AI六小时开发出游戏Demo,剧本绘画配音一条龙,网友:新概念3“A”大作

  华为苏箐被曝转投大众汽车:最狂智能车高管,因抨击特斯拉丢工作,任正非亲自签发罢免令

  大算力时代,中国可重构计算架构芯片发展到了哪一步?|量子位·视点 x 清微智能

  国际刑警组织进军元宇宙/ 苹果首席产品设计师离职/ 俄罗斯版“星链”来了…今日更多新鲜事在此

  一文掌握所有命令行,包括73个“冷门但有用”的技巧|GitHub 11万标星之作


本文》有 0 条评论

留下一个回复