在全球有逾10億用戶的流動影片應用式程TikTok(抖音),被網絡安全解決方案供應商Check Point的威脅情報部門Check Point Research發現,其國際版存在多個漏洞,其中允許攻擊者操縱用戶帳戶的內容,甚至取得保存在帳戶上的個人機密資料。
TikTok的用戶群體主要是青少年和兒童,不時分享和儲存個人及親友的私人影片。惟Check Point的研究發現,攻擊者可以向用戶發送一條包含惡意連結的偽造短訊,只要用戶點擊這條惡意連結,攻擊者便能夠控制其TikTok帳戶並進行各種惡意操作,例如刪除影片、上傳未經授權的影片及將私人或「隱藏」影片公開等。
研究還發現,TikTok的子網域https://ads.tiktok.com很容易受到XSS攻擊,那是一種通過將惡意腳本注入到原本安全可信的網站中實施的攻擊。Check Point研究人員利用這漏洞檢索到用戶帳戶中儲存的個人資料,包括個人電子郵件地址和生日日期。
Check Point Research已向TikTok開發人員披露有關漏洞,TikTok也在最新版本修復有關問題。Check Point產品漏洞研究主管Oded Vanunu表示:「數據無處不在,數據洩漏頻頻發生,連一些受歡迎的應用程式也在劫難逃。社交媒體應用程式極易遭到漏洞攻擊,因為擁有大量的私人數據以及較大的攻擊面。攻擊者正在花大成本,下大功夫向這些體量龐大的應用程式發起攻擊。然而,大多數用戶還認為自己使用的應用程式非常安全。」
立即更新/下載AM730手機APP 體驗升級功能
