观点

抖音海外版曝光漏洞:一个链接就能公开你的私密视频

字号+ 作者: 来源: 2020-08-07 我要评论

抖音海外版曝光漏洞:一个链接就能公开你的私密视频

鱼羊 发自 凹非寺

量子位 报道 | 公众号 QbitAI

TikTok,抖音海外版,今天因为一个漏洞,再次成为热议焦点。

这个安全漏洞,通俗来讲很简单:基于TikTok的基础架构设计,黑客可以有机会向用户发送恶意链接,然后“为所欲为。”

也就说抖音海外版这个“家”,门锁有问题,攻击者开门进去——可以公开草稿箱视频、可以进一步窃取账户支付信息,甚至进一步还能接管用户帐号。

发现漏洞的研究员说:考虑到TikTok全球有15亿用户,被别有用心之徒盯上就麻烦了。

所以究竟是一个怎样的漏洞?

抖音海外版安全漏洞

漏洞发现者,是一家全球知名的以色列网络安全公司:Check Point

总部位于特拉维夫,提供IT安全软件和硬件服务,是公认的全球首屈一指的Internet安全解决方案供应商。

这种权威性,也让此次曝光的TikTok安全漏洞备受关注。

Check Point在研究和攻防中发现,抖音海外版——TikTok的基础架构设计,使得黑客有机会向TikTok用户发送带有恶意链接的信息。

通过这个漏洞,黑客能够操纵用户数据,攫取个人隐私数据

抖音海外版曝光漏洞:一个链接就能公开你的私密视频

在用户点击链接后,攻击者就能进一步发动攻击,接管其账户,包括上传视频访问私人视频

具体来说,由于用户在注册TikTok时必须提供手机号码(跟国内抖音一样),而黑客可以访问到这些代码。于是,他们能伪装成“TikTok”,向用户发送信息,借此接管受害者账户控制权。

一旦攻击成功,黑客差不多能为所欲为:

删除视频,上传视频,公开私有视频

将TikTok用户强制引向黑客控制的Web服务器,执行未经用户许可的操作请求

将用户重定向到伪装成TikTok的恶意网站

发现漏洞的安全人员还解释:

由于缺乏反跨站请求伪造机制,无需受害者同意,攻击者就可以执行JavaScript代码,替代受害者执行操作。

并且,一旦攻击者获得用户账户的部分控制权,就可以通过API调用,获取该用户的隐私信息,包括姓名、电子邮箱、付款信息和生日等。

抖音海外版曝光漏洞:一个链接就能公开你的私密视频

Check Point产品漏洞研究负责人——奥德·瓦努努(Oded Vanunu)表示,TikTok在全球范围拥有接近15亿的用户数量,由于数据量巨大,这一产品成为了黑客的重点关注目标。

而且由于TikTok这样的应用程序可以在多个平台上使用,因此恶意攻击很容易迅速升级。

从这个解释里,也暗示“漏洞”不止于抖音海外版——TikTok,毕竟“15亿用户数量”,那就可能要把国内版本也计算在内了。

字节跳动回应:漏洞已修复

不过这个漏洞是否涉及了抖音国内版?目前还不知道。

字节跳动官方也没解释和说明。

但时间上,漏洞被发现并提交的时间是2019年11月,当时Check Point按照江湖规矩,把漏洞报告给了字节跳动。

其后12月15日,字节跳动方面回复:漏洞问题已得到修复——用的是TikTok之名。

抖音海外版曝光漏洞:一个链接就能公开你的私密视频

然而,由于太平洋两岸形势,以及美国对中国公司旗下产品的隐私安全担忧,这个漏洞不再是一个安全漏洞那么简单。

最近TikTok,刚因为被美军禁用引起过关注。

而现在“安全漏洞”,无异于火上浇油。

《纽约时报》就评论称,在美国军方禁止士兵使用抖音之后,Check Point发现的漏洞可能会使这些问题更加复杂。

Digital Trends也表示,TikTok正在受到美国立法者的关注,而诸如此类的隐私漏洞会进一步加剧这些担忧。

纽约时报还指出,由于抖音的用户以年轻人为主,他们可能对安全更新并没有那么在意,这也给黑客带来了可乘之机。

虽然确实有点被针对,但抖音海外版,也是“欲戴王冠必承其重”。

抖音在海外有多火?

2017年以10亿美元的价格收购短视频应用Musical.ly之后,字节跳动将这一拥有2.4亿注册用户的App与抖音国际版TikTok进行了合并,推向国际市场。

此后,抖音这一中国最受欢迎的短视频App,在海外市场也实现了病毒式扩张,成为包括美国、日本、法国、印度等多个国家下载量最高的社交软件,全球用户已接近15亿。

在美国,TikTok有超过1.1亿的下载量,多次进入美国苹果应用商店下载量前三甲。

在日本,据日本电视台NTV报道,移动互联网用户中每十个人里就有一个人使用或下载TikTok。

而据《巴黎人报》报道:38%的法国青少年(11岁至14岁)拥有TikTok账号。

在印度,5亿智能手机用户里,有2亿都是TikTok用户。

其在青少年群体中的发展势头,俨然超过Facebook、Instagram等一众社交媒体。

连Facebook创始人扎克伯格都在内部会议上承认,TikTok是中国科技巨头在世界范围内首个表现出色的消费互联网产品。

就规模而言,我认为TikTok在印度已经超越了Instagram

PG One李小璐视频泄露事件

只不过意外的是,这个被美媒曝光的漏洞事件,有可能解答PG One的“抖音之问”,也有可能还他一个当时“故意炒作”的清白。

2019年10月底,三段李小璐和PGone同框视频,忽然流出,一石激起千层浪。

抖音海外版曝光漏洞:一个链接就能公开你的私密视频

而且从视频形式、玩法等特点,很快被指向抖音平台。

此前,PG One曾有过复出尝试,于是视频流出后,不少吃瓜网友认为是“故意炒作”,借机复出。

但很快,PG One就长文回应,一方面解释与“嫂子”李小璐为何有如此恩爱视频,另一方面也明确表示视频并非主动为之,并且提出质问:

为什么去年在抖音拍的视频,在没有任何外传的前提下会被放出来?

抖音海外版曝光漏洞:一个链接就能公开你的私密视频

PG One的粉丝也以此声援:说唱歌手都real,不是就不是,而且确实视频没有平台logo。

其后还进一步有网友爆料,称该视频时抖音员工通过抖音后台,从PGone的草稿箱里下载下来的。

但抖音随即回应:草稿视频不会上传至后台。并表示会进一步展开调查。

抖音海外版曝光漏洞:一个链接就能公开你的私密视频

转载请注明出处。

1.本站遵循行业规范,任何转载的稿件都会明确标注作者和来源;2.本站的原创文章,请转载时务必注明文章作者和来源,不尊重原创的行为我们将追究责任;3.作者投稿可能会经我们编辑修改或补充。

相关文章
  • 抖音海外版爆漏洞,隐藏视频可被公开,个人账号接近裸奔

    抖音海外版爆漏洞,隐藏视频可被公开,个人账号接

  • 抖音2月份清理14万条视频 永久封禁15万账号

    抖音2月份清理14万条视频 永久封禁15万账号

  • 抖音一个月清理近10万视频 永久封禁13万账号

    抖音一个月清理近10万视频 永久封禁13万账号

  • 2020使用花呗套现金猪大赚钱?但是还是会有用户质疑

    2020使用花呗套现金猪大赚钱?但是还是会有用户质

网友点评

关注微信
手机网站
关于我们