[科技资讯] CheckPointResearch揭露抖音国际版TikTok多个漏洞

世界上流行的应用程序Tiktok很容易泄露个人信息，用户地址和电子邮件也不例外

2020年1月9日-检查站& reg，全球领先的网络安全解决方案提供商；软件技术有限公司(NASDAQ: chkp)的威胁情报部门Checkpointresearch今天透露，他们在tiktok(颤音国际版)发现了多个漏洞，使得攻击者能够操纵用户帐户的内容，甚至提取存储在这些帐户中的个人机密信息。

Tiktok的用户主要是青少年和儿童，他们使用tiktok分享和保存自己和亲人的私人视频(视频内容有时非常敏感)。发现攻击者可以向用户发送含有恶意链接的虚假短信。一旦用户点击这个恶意链接，攻击者就可以控制他的tiktok帐户并执行各种恶意操作，如删除视频、上传未经授权的视频以及公开私人或隐藏的视频。

研究还发现，tiktok的子域https://ads.tiktok容易受到xss攻击，这种攻击是通过在原始的安全可信的网站中注入恶意脚本来实现的。检查点研究人员利用该漏洞检索存储在用户帐户中的个人信息，包括个人电子邮件地址和生日。

Checkpointresearch向tiktok开发商披露了该研究发现的漏洞，开发商负责任地部署了补丁，以确保他们的用户能够继续安全使用tiktok。

检查站产品漏洞研究总监奥德瓦努(Odedvanunu)表示:数据无处不在，数据泄露频繁发生。我们的最新研究表明，一些最受欢迎的应用注定要失败。社交媒体应用容易受到攻击，因为它们有大量的私有数据和大的攻击面。攻击者正在花费大量的金钱和巨大的努力来攻击这些巨大的应用程序。然而，大多数用户仍然认为他们使用的应用程序非常安全。

tiktok安全团队的lukedeshotels博士说:tiktok非常重视用户数据安全。像许多企业一样，我们鼓励负责任的安全研究人员向我们秘密披露零日漏洞。在暴露漏洞之前，检查点已确认所有报告的问题都已在最新版本的tiktok中得到修复。我希望这一风险的成功解决将促进今后更多类似的安全合作。

Tiktok覆盖全球150多个国家和地区，提供75种语言和超过10亿用户。毫无疑问，tiktok是下载量最大的应用之一。截至2019年10月，tiktok在美国应用程序下载量排行榜上名列榜首，成为首个创造这一纪录的中国应用程序。

有关这项研究的更多信息，请查看checkpointresearch博客。

关于关卡软件技术有限公司

检查站软件技术有限公司(www.checkpoint)是全球企业用户信息安全解决方案的领先提供商。检查点解决方案在恶意软件、固件和高级目标威胁的预防率方面处于行业领先地位，可以有效保护客户免受第五代网络攻击。检查站为行业提供了前瞻性的多层次安全架构infinitytotalprotection，具有第五代高级威胁防御能力，能够全面保护企业的云、网络、移动、工业互联网和物联网系统。

关于检查点研究

检查点研究可以为检查点软件客户和整个情报社区提供领先的网络威胁情报。检查站研究团队负责收集和分析存储在threatcloud中的全球网络攻击数据，以防止黑客攻击，并确保所有检查站产品享有最新的保护措施。此外，该团队由100多名分析师和研究人员组成，可以与其他安全供应商、执法机构和各种计算机安全应急响应团队合作。