发表于

编者简介:TikTok革命已经取代了亚洲其他许多社交媒体,例如Facebook和Instagram,但其面可能更加阴暗,如Check Point Research所揭示的那样,黑客可以利用欺骗性SMS消息来利用它。 可以在下面找到供应商的新闻稿。

Check Point Research发现TikTok中的多个漏洞

新加坡,@mcgallen#microwire资讯,9年2020月XNUMX日— Check Point Research,威胁情报部门 CheckPoint®软件技术有限公司 (纳斯达克股票代码:CHKP)是全球网络安全解决方案的领先提供商,该公司今天透露,它在TikTok中发现了多个漏洞,这些漏洞可能允许攻击者操纵用户帐户上的内容,甚至提取保存在这些帐户上的机密个人信息。

TikTok主要由使用此应用程序的青少年和儿童使用,以分享,保存和保留自己和亲人的私人视频(有时非常敏感)。 研究发现,攻击者可以向包含恶意链接的用户发送欺骗的SMS消息。 当用户单击恶意链接时,攻击者可以通过删除视频,上传未经授权的视频以及将私有或“隐藏”视频公开,来持有TikTok帐户并操纵其内容。

研究还发现Tiktok的子域 https://ads.tiktok.com 很容易受到XSS攻击的侵害,XSS攻击是一种将恶意脚本注入到原本良性和可信的网站中的攻击。 Check Point研究人员利用此漏洞来检索保存在用户帐户中的个人信息,包括私人电子邮件地址和生日。

Check Point Research向TikTok开发人员通报了此研究中暴露的漏洞,并负责任地部署了修补程序,以确保其用户可以安全地继续使用TikTok应用程序。

Check Point产品漏洞研究主管Oded Vanunu表示:“数据无处不在,但数据泄露正成为一种流行病,我们的最新研究表明,最受欢迎的应用仍处于危险之中。” 社交媒体应用程序非常容易受到漏洞的攻击,因为它们为私人数据提供了良好的来源,并提供了良好的攻击面门。 恶意行为者正在花费大量金钱,并付出巨大的努力来渗透到如此庞大的应用程序中。 然而,大多数用户都认为自己受到所用应用程序的保护。”

TikTok安全团队博士Luke Deshotels:“ TikTok致力于保护用户数据。 与许多组织一样,我们鼓励负责任的安全研究人员向我们秘密披露零日漏洞。 在公开披露信息之前,CheckPoint同意所有报告的问题均已在我们应用的最新版本中进行了修补。 我们希望这项成功的决议将鼓励未来与安全研究人员的合作。”

TikTok在150多个市场中可用,在全球以75种语言使用,并拥有超过1亿用户,绝对是全世界下载量最大的应用程序之一。 截至2019年XNUMX月,TikTok是美国下载量最大的应用程序,是首个获得此类记录的中国应用程序。

更多信息 有关该研究的信息,请访问Check Point Research博客。

关于Check Point研究
Check Point Research为您提供领先的网络威胁情报 Check Point Software 客户和更大的情报界。 研究团队收集并分析存储在ThreatCloud上的全球网络攻击数据,以阻止黑客攻击,同时确保所有Check Point产品都已得到最新保护。 该研究团队由100多名分析师和研究人员组成,他们与其他安全厂商,执法部门和各种CERT合作。

通过以下方式关注Check Point Research:

关于我们 Check Point Software 技术公司Check Point Software 科技有限公司(www.checkpoint.com)是为全球政府和企业提供网络安全解决方案的领先提供商。 Check Point的解决方案以行业领先的恶意软件,勒索软件和高级针对性威胁捕获率,保护客户免受第五代网络攻击。 Check Point提供了多层安全架构,“具有Gen V高级威胁防御功能的Infinity全面保护”,这种组合的产品架构可以保护企业的云,网络和移动设备。 Check Point提供了最全面,最直观的控制安全管理系统。 Check Point可保护超过5个各种规模的组织。

###