漏洞都在 TikTok 系统的核心部分

根据以色列网络安全公司 Check Point 周三发布的研究报告,在全球拥有上亿用户、深受青少年喜爱的智能手机应用 TikTok 存在严重的安全漏洞,黑客可以利用这些漏洞操纵用户数据并泄露个人信息。

这些漏洞可以让攻击者向 TikTok 用户发送带有恶意链接的消息。用户点击链接后,攻击者就能够控制他们的帐户,包括上传视频或访问私密视频。通过另一个漏洞,Check Point 研究人员可以从该公司网站上获取 TikTok 用户账户的个人信息。

Check Point 产品漏洞研究负责人奥代德·瓦努努 (Oded Vanunu) 说:「我们发现的漏洞都在 TikTok 系统的核心部分。」

TikTok 于 11 月 20 日了解到 Check Point 的研究结论,并表示已在 12 月 15 日之前修复了所有漏洞。

这个母公司位于北京的应用程序,被称为「互联网上最后一个阳光明媚的角落」。用户可以在上面发布简短的创意视频,并轻松分享到各种应用程序上。

它也成为了对中国技术存疑的立法者和监管者的目标。美国军方的几个部门已经下了禁令,不许在政府配发的智能手机上使用该应用程序。Check Point 发现的漏洞可能会加剧这些担忧。

在过去的两年中,TikTok 的爆炸式增长成为中国互联网在西方取得成功的罕见案例。根据数据公司感应塔 (Sensor Tower) 的数据,该应用已被下载超过 15 亿次。该研究公司表示,到 2019 年底,TikTok 的下载量即将超越 Facebook、Instagram、YouTube 和 Snap 等更加知名的应用程序。

但是,像 TikTok 这样的新应用程序为黑客提供了机会,这些黑客以多年未经安全研究测试的服务和现实世界的攻击为目标。而且它的许多用户还很年轻,也许对安全更新并不关心。

「TikTok 致力于保护用户数据,」TikTok 安全团队负责人鲁克·迪舍泰尔斯 (Luke Deshotels) 说。

「像许多组织一样,我们鼓励负责任的安全研究人员私下向我们披露零日漏洞 (zero day vulnerabilities),」他补充说。「在公开披露之前,Check Point 同意所有报告的问题在应用程序的最新版本中进行修补。我们希望这次成功的解决将鼓励安全研究人员在未来的合作。」

迪舍泰尔斯说,用户记录中没有迹象表明发生了入侵或攻击。

TikTok 的母公司字节跳动 (ByteDance) 是世界上最有价值的科技创业公司之一。但是 TikTok 源于中国,在那里,任何一家大公司没有获得政府的好感是难以茁壮成长的,加之 TikTok 的流行程度,这促使人们对该应用程序的内容政策和数据实践进行了严格审查。

TikTok 审查中国政府不喜欢的内容并允许北京收集用户数据的做法,已经引起了美国立法者的担忧。TikTok 否认了这两项指控。该公司还表示,尽管字节跳动的总部位于北京,但 TikTok 的区域经理在运营方面有很大的自主权。

Check Point 的情报小组检验了入侵 TikTok 用户帐户的容易程度。检验发现,该应用程序的各种功能 (包括发送视频文件) 都存在安全问题。

另一网络安全公司 Lookout 的研究负责人克里斯托夫·哈巴森 (Christoph Hebeisen) 说:「TikTok 可能更着重于快速增长并为用户构建新功能,而不是巩固安全性,像这样的公司有安全漏洞是在我预料之中的。」

其中一个漏洞使攻击者可以使用 TikTok 消息系统中的链接向用户发送看似来自 TikTok 的消息。Check Point 研究人员通过给自己发送带有恶意软件的链接来测试漏洞,该恶意软件使他们可以控制帐户、上传内容、删除视频并公开私密视频。

研究人员还发现,TikTok 的网站容易受到某种攻击,该攻击会将恶意代码注入受信任的网站。Check Point 研究人员通过这种方法能够检索用户的个人信息,包括姓名和出生日期。

Check Point 将其调查结果摘要发送给了美国国土安全部。

美国海外投资委员会 (The Committee on Foreign Investment in the United States) 是一个在国家安全层面对投资交易进行审查的小组,它在调查字节跳动 2017 年对 Musical.ly 的收购,这是一个对口型唱歌应用程序,该公司后来合并到 TikTok 中。这项交易为 TikTok 在欧美的快速崛起奠定了基础。

公司的数据隐私惯例也令人担忧。2 月,联邦贸易委员会 (Federal Trade Commission) 对 TikTok 提出投诉,称其非法收集未成年人的个人信息。投诉称,Musical.ly 违反了《儿童在线隐私保护法》(Children’s Online Privacy Protection Act,以下简称 COPPA),该法要求网站和在线公司在收集个人信息之前,要求 13 岁以下的儿童征得父母的同意。

TikTok 同意支付 570 万美元达成和解,并表示将遵守 COPPA。英国信息专员办公室仍在对 TikTok 进行调查,以确定它是否违反了为未成年人及其数据提供特殊保护的欧洲隐私法。

Related