資安業者揭抖音漏洞 帳戶內容可能被操縱
(中央社記者吳家豪台北13日電)網路安全廠商Check Point旗下威脅情報部門Check Point
Research近日揭露中國社群媒體抖音(TikTok)多項資安漏洞,包含允許攻擊者操縱使用
者帳戶內容等;抖音已發布修補程式。
Check Point Research表示,抖音使用者以青少年和兒童為主,用來分享、儲存自己及親友
的私人影片,有時也涵蓋敏感內容。Check Point Research發現,攻擊者可以向使用者發送
一則包含惡意連結的偽造訊息,一旦使用者點擊這條惡意連結,攻擊者便能控制抖音帳戶並
進行各種惡意操作,例如刪除影片、上傳未經授權的影片以及將私人或隱藏影片公開等。
Check Point Research也發現,抖音的子網域https://ads.tiktok.com很容易受到跨站指令
碼(XSS)攻擊,這類攻擊會將惡意網頁程式碼植入原本安全可信的網站中。Check Point研
究人員利用這項漏洞搜尋到使用者帳戶中個人資訊,包括個人電子信箱和生日。
Check Point Research已向抖音開發人員揭露這次發現的漏洞,抖音也已發布修補程式,確
保使用者可以安全使用。
Check Point產品漏洞研究主管范努努(Oded Vanunu)表示,社群媒體應用程式極易遭到漏
洞攻擊,因為擁有大量的私人資料及大面積的攻擊範圍。攻擊者正在花高成本、下大功夫向
這些使用者量龐大的應用程式發起攻擊,但大多數使用者仍認為自己使用的應用程式非常安
全。
抖音安全團隊負責人迪修特斯(Luke Deshotels)說,抖音高度重視使用者資料安全,並鼓
勵負責的安全研究人員向抖音秘密揭發零時差漏洞(指尚未被修補的漏洞)。在公開漏洞之
前,Check Point已確認最新版抖音修復這次所有發現的問題。
根據紐約時報引述App分析公司Sensor Tower的數據,過去一年抖音下載次數超過7.5億次,
比臉書(Facebook)、Instagram、YouTube、Snapchat等平台多出數千萬次。然而在美國陸
軍、海軍及陸戰隊以抖音構成安全威脅為由,相繼禁止在政府公發手機使用抖音後,美國空
軍及海岸防衛隊也跟進禁用。(編輯:郭萍英)1090113
https://www.cna.com.tw/news/firstnews/202001130128.aspx
心得'
有點可怕,但是還好抖音動作迅速,現在最新版已經修正了,如果還沒更新的記得趕快去更
新成最新版,就不用擔心了.