科技新闻抖音海外版爆漏洞,隐藏可被公开,个人账接近裸奔

科技新闻 2020-02-13135未知admin

  原标题:抖音海外版爆漏洞,隐藏视频可被公开,个人账接近裸奔

  大数据文摘出品

  作者:曹培信

  这一年,大家在抖音上吃的瓜不少,现在,抖音自己也出瓜了。

  据报道,抖音海外版Tiktok存在严重的安全漏洞,而这些漏洞几乎可以让者对你的账户和信息。

  具体包括:

  在者的眼里,你的账户可能就是在“裸奔”。

  TikTok这一漏洞并非由某一人发现的,而是一个名为Check Point的以色列安全。

  这个中有很多研究人员,做着类似于“白帽黑客”的事——找出一些应用的漏洞,向发布应用的提交这些漏洞并将此信息公布给大众。

  首先,者可以伪装成TikTok给用户发,引导其点击非法链接。

  当我们打开TikTok官网时,会有一个输入框可以输入手机码,以获得含有TikTok下载链接的。

  而可以使用代理工具(如burpsuite)捕获这一请求,然后以TikTok的名义将一条带有非法链接的发送给用户。

  上图是地址,下图法地址

  其次是研究人员发现,在 Android 手机上使用 TikTok 应用逆向工程时,有一个“深层链接”功能,可以通过浏览器链接实现在应用中调用意图,科技新闻使者能够代表用户发送请求。

  研究人员表示:在TikTok缺乏反“跨站点伪造请求”机制的情况下,我们实现了无需者同意就可以代表用户执行JavaScript代码和操作。

  之后就可以通过代表用户执行操作,实现以下操作:

  新版本已更新,尚不知是否影响国内

  Check Point产品漏洞研究负责人奥代德·瓦努努(Oded Vanunu)说:“我们发现的漏洞都在TikTok系统的核心部分。”

  漏洞的时间是去年的11月,Check Point也将漏洞报告给了TikTok。

  据《》报道,TikTok安全团队负责人Luke Deshotels表示,“TikTok致力于用户数据,像许多组织一样,我们鼓励负责任的安全研究人员在公开披露之前私下向我们披露零日漏洞(zero day vulnerabilities),Check Point也所有报告的问题在TikTok最新版本中进行了修复。我们希望这次成功的解决过程将鼓励安全研究人员在未来的合作。”

  我们可以看到,TikTok在12.13也进行了一次更新。

  尽管更新日志中,TikTok并未写明是修复了漏洞,那么国内版本是否存在相同的情况呢?

  这一点我们不得而知,但是Check Point既然说的是影响全球的“15亿用户”,那么文摘菌猜测国内应该是包含在内的,不过TikTok安全团队负责人Luke Deshotels也表示,“在所有的用户记录中没有迹象表明发生了入侵或”。

  昨天晚上,就这一事件字节跳动安全团队回复了钛:“我们注意到国外的报道。相关问题已经在TikTok的上一版本中修复。安全团队也根据提交的漏洞做了检测,已在抖音早前版本中修复检测发现的问题。网络安全无小事,我们再次感谢网络安全白帽子团队,我们也会及时发现并修复相关隐患。”

  磕碰不断的抖音海外市场

  抖音海外版TikTok近几年可以说是成绩斐然,但是这次漏洞事件却可能成为一个导火索。

  本来,在TikTok在海外的发展就并非一帆风顺。2018年7月3日,因内容存不良影响,TikTok在印度尼西亚被封禁,之后,又在印度被下架一段时间。

  并且,美方的几个部门已经下了,不许在配发的智能手机上使用该应用程序,《》也表示,这次Check Point发现的漏洞可能会加剧这些担忧。

  尽管抖音这几年在国际市场有着各种磕磕碰碰,但是发展势头依然很猛,外媒感慨,在过去的两年中,TikTok的式增长成为中国互联网应用界取得成功的罕见案例。

  不仅在泰国和越南,Tik Tok在日本、菲律宾、马来西亚、科技新闻柬埔寨等国家都处于市场领先地位,均多次登顶当地App Store或Google Play总榜。

  然而在飞速发展的同时,TikTok似乎不太注重安全性。就像另一网络安全Lookout的研究负责人Christoph Hebeisen说:“TikTok可能更着重于快速增长并为用户构建新功能,而不是巩固安全性,像这样的有安全漏洞是在我预料之中的。”

  除了漏洞,Tiktok还面临隐私数据问题。2019年2月,科技新闻美国联邦贸易委员会(Federal Trade Commission)对TikTok提出投诉,称其非法收集未成年人的个人信息。投诉称,Musical.ly(被字节跳动收购)违反了《儿童在线隐私保》(Children’s Online Privacy Protection Act,COPPA),该法要求网站和在线在收集个人信息之前,要求13岁以下的儿童征得父母的同意。

  TikTok同意支付570万美元达成和解,并表示将遵守COPPA。英国信息专员办公室也在对TikTok进行调查,以确定它是否违反了为未成年人及其数据提供特殊的欧洲隐私法。

  

原文标题:科技新闻抖音海外版爆漏洞,隐藏可被公开,个人账接近裸奔 网址:http://www.proextender123.com/kejixinwen/2020/0213/21905.html

Copyright © 2002-2020 心直口快资讯网 www.proextender123.com 版权所有  

联系QQ:1352848661