抖音是一款音乐创意短视频社交软件,是一个专注年轻人的15秒音乐短视频社区。用户可以通过这款软件选择歌曲,拍摄15秒的音乐短视频,形成自己的作品。
抖音于2016年9月上线。2017年11月10日,今日头条10亿美元购北美音乐短视频社交平台Musica.ly,将之与抖音合并。2018年3月19日,抖音确定新slogan“记录美好生活”。
中文名称:抖音
外文名称:Tik Tok
广告语:抖音,记录美好生活。相信这句广告语玩这个app的人都不会陌生,但是它不仅纪录了我们的生活还纪录了我们其他私人隐私。包括个人数据,包括姓名,电子邮件地址和生日。很多软件都会泄露。
CheckPoint的研究人员发现,视频共享和社交网络应用程序TikTok中的安全漏洞(已被全球超过10亿的 Android和iPhone用户下载)可能会使用户的隐私受到威胁。
尽管研究人员不能确定是否利用了安全漏洞,但Check Point与TikTok合作修复了漏洞,并确保黑客现在无法使用这些漏洞。
查看:IT专业人员关于5G技术的演进和影响的指南(免费PDF)
研究人员发现的第一个漏洞是TikTok应用程序的SMS功能。为了帮助用户安装该应用程序,该网站允许他们向自己发送文本消息以及下载链接。但是,发现攻击者可能出于恶意目的利用此漏洞。
这种攻击要求攻击者知道目标受害者的电话号码。这可能是通过已经通过某种方式与他们建立联系,通过社会工程学或网络钓鱼获得的,或者是从被盗或公开的号码列表中获得的。攻击是匿名的,不会泄露攻击者的身份。
通过编辑download url参数,攻击者可以发送包含攻击者拥有的恶意链接的欺骗性SMS消息。
但是,这并不是发现的唯一漏洞,因为他们发现官方TikTok网站的TikTok Ads子域容易受到跨站点脚本(XSS)攻击,从而使攻击者能够注入可通过受信任域针对用户的恶意脚本。。
研究人员发现,在使用TikTok Ads帮助中心的搜索功能时,可以通过在搜索结果的地址中输入代码来操纵该域。
通过结合使用这些,攻击者就有可能操纵受害者的TikTok帐户。他们可以删除视频,可以将私人视频公开或发布自己的视频。
但是,帐户操纵不是该漏洞的唯一潜在风险,因为研究人员发现可以结合使用SMS和XSS漏洞来检索非公开使用的敏感信息,包括其名称,电子邮件地址和出生日期。
“社交媒体应用程序非常容易受到漏洞的攻击,因为它们提供了良好的个人,私人数据来源并提供了广泛的攻击面。恶意参与者正在花费大量金钱和时间来尝试渗透这些广受欢迎的应用程序,但是大多数用户在假设他们受到所用应用程序保护的情况下,” Check Point产品漏洞研究负责人Oded Vanunu说道。
但是,在去年年底发现漏洞之后,Check Point向TikTok的中国母公司ByteDance披露了这些漏洞,后者迅速开展工作并部署了更新程序以修复安全漏洞。
SEE: 网络安全的成功策略 (ZDNet特别报告)| 以PDF格式下载报告 (TechRepublic)
TikTok向ZDNet确认他们已经与Check Point合作解决此问题。
“ TikTok致力于保护用户数据。像许多组织一样,我们鼓励负责任的安全研究人员向我们秘密披露零日漏洞,” TikTok的安全工程师Luke Deshotels说。
他补充说:“在公开披露之前,CheckPoint同意所有报告的问题都已在我们应用程序的最新版本中进行了修补。我们希望这一成功的解决方案将鼓励未来与安全研究人员的合作。”
为了防止遭受利用研究人员发现的漏洞的攻击而遭受破坏的用户,如果尚未这样做,则用户应将其TikTok应用程序更新为最新版本。
最后,小编想说:我是一名python开发工程师,
整理了一套最新的python系统学习教程,
想要这些资料的可以关注私信小编“01”即可(免费分享哦)希望能对你有所帮助
参考网址:https://www.zdnet.com/article/tiktok-fixes-security-flaws-that-could-have-let-hackers-manipulate-accounts-access-personal-data/
,
