剛曝光的抖音海外版漏洞：一個鏈接就能公開你的私密視頻，竊取隱私、接管帳號都不在話下

曉查 2020-01-09 13:49:35 來源：量子位

魚羊 發(fā)自 凹非寺
量子位 報道 | 公眾號 QbitAI

TikTok，抖音海外版，今天因為一個漏洞，再次成為熱議焦點。

這個安全漏洞，通俗來講很簡單：基于TikTok的基礎(chǔ)架構(gòu)設(shè)計，黑客可以有機會向用戶發(fā)送惡意鏈接，然后“為所欲為?！?/p>

也就說抖音海外版這個“家”，門鎖有問題，攻擊者開門進去——可以公開草稿箱視頻、可以進一步竊取賬戶支付信息，甚至進一步還能接管用戶帳號。

發(fā)現(xiàn)漏洞的研究員說：考慮到TikTok全球有15億用戶，被別有用心之徒盯上就麻煩了。

所以究竟是一個怎樣的漏洞？

抖音海外版安全漏洞

漏洞發(fā)現(xiàn)者，是一家全球知名的以色列網(wǎng)絡(luò)安全公司：Check Point。

總部位于特拉維夫，提供IT安全軟件和硬件服務(wù)，是公認的全球首屈一指的Internet安全解決方案供應(yīng)商。

這種權(quán)威性，也讓此次曝光的TikTok安全漏洞備受關(guān)注。

Check Point在研究和攻防中發(fā)現(xiàn)，抖音海外版——TikTok的基礎(chǔ)架構(gòu)設(shè)計，使得黑客有機會向TikTok用戶發(fā)送帶有惡意鏈接的信息。

通過這個漏洞，黑客能夠操縱用戶數(shù)據(jù)，攫取個人隱私數(shù)據(jù)。

在用戶點擊鏈接后，攻擊者就能進一步發(fā)動攻擊，接管其賬戶，包括上傳視頻、訪問私人視頻。

具體來說，由于用戶在注冊TikTok時必須提供手機號碼（跟國內(nèi)抖音一樣），而黑客可以訪問到這些代碼。于是，他們能偽裝成“TikTok”，向用戶發(fā)送信息，借此接管受害者賬戶控制權(quán)。

一旦攻擊成功，黑客差不多能為所欲為：

• 刪除視頻，上傳視頻，公開私有視頻
• 將TikTok用戶強制引向黑客控制的Web服務(wù)器，執(zhí)行未經(jīng)用戶許可的操作請求
• 將用戶重定向到偽裝成TikTok的惡意網(wǎng)站

發(fā)現(xiàn)漏洞的安全人員還解釋：

由于缺乏反跨站請求偽造機制，無需受害者同意，攻擊者就可以執(zhí)行JavaScript代碼，替代受害者執(zhí)行操作。

并且，一旦攻擊者獲得用戶賬戶的部分控制權(quán)，就可以通過API調(diào)用，獲取該用戶的隱私信息，包括姓名、電子郵箱、付款信息和生日等。

Check Point產(chǎn)品漏洞研究負責(zé)人——奧德·瓦努努（Oded Vanunu）表示，TikTok在全球范圍擁有接近15億的用戶數(shù)量，由于數(shù)據(jù)量巨大，這一產(chǎn)品成為了黑客的重點關(guān)注目標。

而且由于TikTok這樣的應(yīng)用程序可以在多個平臺上使用，因此惡意攻擊很容易迅速升級。

從這個解釋里，也暗示“漏洞”不止于抖音海外版——TikTok，畢竟“15億用戶數(shù)量”，那就可能要把國內(nèi)版本也計算在內(nèi)了。

字節(jié)跳動回應(yīng)：漏洞已修復(fù)

不過這個漏洞是否涉及了抖音國內(nèi)版？目前還不知道。

字節(jié)跳動官方也沒解釋和說明。

但時間上，漏洞被發(fā)現(xiàn)并提交的時間是2019年11月，當(dāng)時Check Point按照江湖規(guī)矩，把漏洞報告給了字節(jié)跳動。

其后12月15日，字節(jié)跳動方面回復(fù)：漏洞問題已得到修復(fù)——用的是TikTok之名。

然而，由于太平洋兩岸形勢，以及美國對中國公司旗下產(chǎn)品的隱私安全擔(dān)憂，這個漏洞不再是一個安全漏洞那么簡單。

最近TikTok，剛因為被美軍禁用引起過關(guān)注。

而現(xiàn)在“安全漏洞”，無異于火上澆油。

《紐約時報》就評論稱，在美國軍方禁止士兵使用抖音之后，Check Point發(fā)現(xiàn)的漏洞可能會使這些問題更加復(fù)雜。

Digital Trends也表示，TikTok正在受到美國立法者的關(guān)注，而諸如此類的隱私漏洞會進一步加劇這些擔(dān)憂。

紐約時報還指出，由于抖音的用戶以年輕人為主，他們可能對安全更新并沒有那么在意，這也給黑客帶來了可乘之機。

雖然確實有點被針對，但抖音海外版，也是“欲戴王冠必承其重”。

抖音在海外有多火？

2017年以10億美元的價格收購短視頻應(yīng)用Musical.ly之后，字節(jié)跳動將這一擁有2.4億注冊用戶的App與抖音國際版TikTok進行了合并，推向國際市場。

此后，抖音這一中國最受歡迎的短視頻App，在海外市場也實現(xiàn)了病毒式擴張，成為包括美國、日本、法國、印度等多個國家下載量最高的社交軟件，全球用戶已接近15億。

在美國，TikTok有超過1.1億的下載量，多次進入美國蘋果應(yīng)用商店下載量前三甲。

在日本，據(jù)日本電視臺NTV報道，移動互聯(lián)網(wǎng)用戶中每十個人里就有一個人使用或下載TikTok。

而據(jù)《巴黎人報》報道：38%的法國青少年（11歲至14歲）擁有TikTok賬號。

在印度，5億智能手機用戶里，有2億都是TikTok用戶。

其在青少年群體中的發(fā)展勢頭，儼然超過Facebook、Instagram等一眾社交媒體。

連Facebook創(chuàng)始人扎克伯格都在內(nèi)部會議上承認，TikTok是中國科技巨頭在世界范圍內(nèi)首個表現(xiàn)出色的消費互聯(lián)網(wǎng)產(chǎn)品。

就規(guī)模而言，我認為TikTok在印度已經(jīng)超越了Instagram

PG One李小璐視頻泄露事件

只不過意外的是，這個被美媒曝光的漏洞事件，有可能解答PG One的“抖音之問”，也有可能還他一個當(dāng)時“故意炒作”的清白。

2019年10月底，三段李小璐和PGone同框視頻，忽然流出，一石激起千層浪。

而且從視頻形式、玩法等特點，很快被指向抖音平臺。

此前，PG One曾有過復(fù)出嘗試，于是視頻流出后，不少吃瓜網(wǎng)友認為是“故意炒作”，借機復(fù)出。

但很快，PG One就長文回應(yīng)，一方面解釋與“嫂子”李小璐為何有如此恩愛視頻，另一方面也明確表示視頻并非主動為之，并且提出質(zhì)問：

為什么去年在抖音拍的視頻，在沒有任何外傳的前提下會被放出來？

PG One的粉絲也以此聲援：說唱歌手都real，不是就不是，而且確實視頻沒有平臺logo。

其后還進一步有網(wǎng)友爆料，稱該視頻時抖音員工通過抖音后臺，從PGone的草稿箱里下載下來的。

但抖音隨即回應(yīng)：草稿視頻不會上傳至后臺。并表示會進一步展開調(diào)查。

當(dāng)時也有眼尖的網(wǎng)友注意到，在抖音APP端的“隱私政策”中，有這樣一條：當(dāng)您發(fā)布音視頻時，在點擊“發(fā)布”確認上傳之前，我們可能會將該音視頻臨時加載至服務(wù)器。

總之，一筆吃瓜糊涂賬，一堂隱私安全爭議課，最后跟大部分娛樂熱點一樣，很快被遺忘。

抖音官方后續(xù)也沒有進一步再有公開說明。

TikTok回應(yīng)漏洞

在漏洞曝光后，抖音海外版也發(fā)表了公開回應(yīng)，英中版本全文如下：

Luke Deshotels, PhD, TikTok Security Team: “TikTok is committed to protecting user data. Like many organizations, we encourage responsible security researchers to privately disclose zero day vulnerabilities to us. Before public disclosure, CheckPoint agreed that all reported issues were patched in the latest version of our app. We hope that this successful resolution will encourage future collaboration with security researchers.”

TikTok安全團隊的Luke Deshotels博士表示，“不久前，網(wǎng)絡(luò)安全公司CheckPoint的研究團隊向我們提交了他們發(fā)現(xiàn)的TikTok漏洞，我們已經(jīng)在TikTok的上一版本APP中修復(fù)了相關(guān)漏洞。我們感謝同時鼓勵更多白帽子團隊用非公開的方式向我們提供線索，幫助我們發(fā)現(xiàn)、修復(fù)漏洞，保護用戶網(wǎng)絡(luò)安全?！?/p>

至于抖音國內(nèi)版本是否存在類似漏洞，還沒有公開說明，不過如果有抖友擔(dān)憂，也可以及時更新最新版本。

從iOS版本迭代來看，12月剛好有一次大版本更新，但是否與漏洞修復(fù)相關(guān)？

版本更新資料和官方聲明中都沒有說。

我們也問了字節(jié)跳動官方，截至發(fā)稿尚無說明。

嗯，就醬~~

參考：

https://www.nytimes.com/2020/01/08/technology/tiktok-security-flaws.html?auth=login-google
https://www.theverge.com/2020/1/8/21050589/tiktok-patched-vulnerability-hackers-videos-china-bytedance-checkpoint

https://www.digitaltrends.com/social-media/tiktok-sms-vulnerability/

TikTok Riddled With Security Flaws

https://www.bbc.com/news/technology-51010408