Check Point揭TikTok网安漏洞

Check Point Software Technologies Ltd.威胁情报部门Check Point Research揭露高人气短影音平台TikTok的多项网安漏洞，包含允许攻击者操纵使用者帐户内容，甚至窃取保存在其中的个人机密信息。

TikTok使用者以青少年和儿童为主，他们用来分享、储存自己及亲友的私人影片，有时也涵盖非常敏感内容。Check Point Research发现，攻击者可以向使用者发送一则包含恶意连结的伪造信息。一旦使用者点击这条恶意连结，攻击者便能控制其TikTok帐户并进行各种恶意操作，如删除影片、上传未经授权的影片以及将私人或「隐藏」影片公开等。

除此之外，TikTok 的子网域很容易受到跨站指令码攻击，这类攻击是透过将恶意网页程序码植入原本安全可信的网站中进行的。Check Point研究人员利用这一漏洞即查找到了使用者帐户中的个人信息，包括个人电子信箱和生日。

Check Point Research向TikTok开发人员揭露了这次发现的漏洞，TikTok也已发布了修补程序，确保其使用者可以继续安全地使用TikTok。

Check Point产品漏洞研究主管Oded Vanunu表示，数据无处不在，但外泄事件却频繁发生，最新研究指出，受欢迎的应用程序也在劫难逃。社群媒体应用程序极易遭到漏洞攻击，因其拥有大量的私人数据及大面积的攻击范围。攻击者正在花高成本、下大功夫向这些使用者量庞大的应用程序发起攻击，但大多数使用者仍认为自己使用的应用程序非常安全。

TikTok安全团队Luke Deshotels博士表示，TikTok高度重视使用者数据安全。跟许多企业一样，鼓励负责的安全研究人员向我们秘密揭发零时差漏洞；在公开漏洞之前，Check Point已确认最新版TikTok修复了这次所有发现的问题。希望透过这次顺利化解危机，能促进未来更多类似的安全合作机会。