剛曝光的抖音海外版漏洞：一個(gè)鏈接就能公開(kāi)你的私密視頻，竊取隱私、接管帳號(hào)都不在話下

曉查 2020-01-09 13:49:35 來(lái)源：量子位

魚(yú)羊 發(fā)自 凹非寺
量子位 報(bào)道 | 公眾號(hào) QbitAI

TikTok，抖音海外版，今天因?yàn)橐粋€(gè)漏洞，再次成為熱議焦點(diǎn)。

這個(gè)安全漏洞，通俗來(lái)講很簡(jiǎn)單：基于TikTok的基礎(chǔ)架構(gòu)設(shè)計(jì)，黑客可以有機(jī)會(huì)向用戶發(fā)送惡意鏈接，然后“為所欲為?！?/p>

也就說(shuō)抖音海外版這個(gè)“家”，門鎖有問(wèn)題，攻擊者開(kāi)門進(jìn)去——可以公開(kāi)草稿箱視頻、可以進(jìn)一步竊取賬戶支付信息，甚至進(jìn)一步還能接管用戶帳號(hào)。

發(fā)現(xiàn)漏洞的研究員說(shuō)：考慮到TikTok全球有15億用戶，被別有用心之徒盯上就麻煩了。

所以究竟是一個(gè)怎樣的漏洞？

抖音海外版安全漏洞

漏洞發(fā)現(xiàn)者，是一家全球知名的以色列網(wǎng)絡(luò)安全公司：Check Point。

總部位于特拉維夫，提供IT安全軟件和硬件服務(wù)，是公認(rèn)的全球首屈一指的Internet安全解決方案供應(yīng)商。

這種權(quán)威性，也讓此次曝光的TikTok安全漏洞備受關(guān)注。

Check Point在研究和攻防中發(fā)現(xiàn)，抖音海外版——TikTok的基礎(chǔ)架構(gòu)設(shè)計(jì)，使得黑客有機(jī)會(huì)向TikTok用戶發(fā)送帶有惡意鏈接的信息。

通過(guò)這個(gè)漏洞，黑客能夠操縱用戶數(shù)據(jù)，攫取個(gè)人隱私數(shù)據(jù)。

在用戶點(diǎn)擊鏈接后，攻擊者就能進(jìn)一步發(fā)動(dòng)攻擊，接管其賬戶，包括上傳視頻、訪問(wèn)私人視頻。

具體來(lái)說(shuō)，由于用戶在注冊(cè)TikTok時(shí)必須提供手機(jī)號(hào)碼（跟國(guó)內(nèi)抖音一樣），而黑客可以訪問(wèn)到這些代碼。于是，他們能偽裝成“TikTok”，向用戶發(fā)送信息，借此接管受害者賬戶控制權(quán)。

一旦攻擊成功，黑客差不多能為所欲為：

• 刪除視頻，上傳視頻，公開(kāi)私有視頻
• 將TikTok用戶強(qiáng)制引向黑客控制的Web服務(wù)器，執(zhí)行未經(jīng)用戶許可的操作請(qǐng)求
• 將用戶重定向到偽裝成TikTok的惡意網(wǎng)站

發(fā)現(xiàn)漏洞的安全人員還解釋：

由于缺乏反跨站請(qǐng)求偽造機(jī)制，無(wú)需受害者同意，攻擊者就可以執(zhí)行JavaScript代碼，替代受害者執(zhí)行操作。

并且，一旦攻擊者獲得用戶賬戶的部分控制權(quán)，就可以通過(guò)API調(diào)用，獲取該用戶的隱私信息，包括姓名、電子郵箱、付款信息和生日等。

Check Point產(chǎn)品漏洞研究負(fù)責(zé)人——奧德·瓦努努（Oded Vanunu）表示，TikTok在全球范圍擁有接近15億的用戶數(shù)量，由于數(shù)據(jù)量巨大，這一產(chǎn)品成為了黑客的重點(diǎn)關(guān)注目標(biāo)。

而且由于TikTok這樣的應(yīng)用程序可以在多個(gè)平臺(tái)上使用，因此惡意攻擊很容易迅速升級(jí)。

從這個(gè)解釋里，也暗示“漏洞”不止于抖音海外版——TikTok，畢竟“15億用戶數(shù)量”，那就可能要把國(guó)內(nèi)版本也計(jì)算在內(nèi)了。

字節(jié)跳動(dòng)回應(yīng)：漏洞已修復(fù)

不過(guò)這個(gè)漏洞是否涉及了抖音國(guó)內(nèi)版？目前還不知道。

字節(jié)跳動(dòng)官方也沒(méi)解釋和說(shuō)明。

但時(shí)間上，漏洞被發(fā)現(xiàn)并提交的時(shí)間是2019年11月，當(dāng)時(shí)Check Point按照江湖規(guī)矩，把漏洞報(bào)告給了字節(jié)跳動(dòng)。

其后12月15日，字節(jié)跳動(dòng)方面回復(fù)：漏洞問(wèn)題已得到修復(fù)——用的是TikTok之名。

然而，由于太平洋兩岸形勢(shì)，以及美國(guó)對(duì)中國(guó)公司旗下產(chǎn)品的隱私安全擔(dān)憂，這個(gè)漏洞不再是一個(gè)安全漏洞那么簡(jiǎn)單。

最近TikTok，剛因?yàn)楸幻儡娊靡疬^(guò)關(guān)注。

而現(xiàn)在“安全漏洞”，無(wú)異于火上澆油。

《紐約時(shí)報(bào)》就評(píng)論稱，在美國(guó)軍方禁止士兵使用抖音之后，Check Point發(fā)現(xiàn)的漏洞可能會(huì)使這些問(wèn)題更加復(fù)雜。

Digital Trends也表示，TikTok正在受到美國(guó)立法者的關(guān)注，而諸如此類的隱私漏洞會(huì)進(jìn)一步加劇這些擔(dān)憂。

紐約時(shí)報(bào)還指出，由于抖音的用戶以年輕人為主，他們可能對(duì)安全更新并沒(méi)有那么在意，這也給黑客帶來(lái)了可乘之機(jī)。

雖然確實(shí)有點(diǎn)被針對(duì)，但抖音海外版，也是“欲戴王冠必承其重”。

抖音在海外有多火？

2017年以10億美元的價(jià)格收購(gòu)短視頻應(yīng)用Musical.ly之后，字節(jié)跳動(dòng)將這一擁有2.4億注冊(cè)用戶的App與抖音國(guó)際版TikTok進(jìn)行了合并，推向國(guó)際市場(chǎng)。

此后，抖音這一中國(guó)最受歡迎的短視頻App，在海外市場(chǎng)也實(shí)現(xiàn)了病毒式擴(kuò)張，成為包括美國(guó)、日本、法國(guó)、印度等多個(gè)國(guó)家下載量最高的社交軟件，全球用戶已接近15億。

在美國(guó)，TikTok有超過(guò)1.1億的下載量，多次進(jìn)入美國(guó)蘋果應(yīng)用商店下載量前三甲。

在日本，據(jù)日本電視臺(tái)NTV報(bào)道，移動(dòng)互聯(lián)網(wǎng)用戶中每十個(gè)人里就有一個(gè)人使用或下載TikTok。

而據(jù)《巴黎人報(bào)》報(bào)道：38%的法國(guó)青少年（11歲至14歲）擁有TikTok賬號(hào)。

在印度，5億智能手機(jī)用戶里，有2億都是TikTok用戶。

其在青少年群體中的發(fā)展勢(shì)頭，儼然超過(guò)Facebook、Instagram等一眾社交媒體。

連Facebook創(chuàng)始人扎克伯格都在內(nèi)部會(huì)議上承認(rèn)，TikTok是中國(guó)科技巨頭在世界范圍內(nèi)首個(gè)表現(xiàn)出色的消費(fèi)互聯(lián)網(wǎng)產(chǎn)品。

就規(guī)模而言，我認(rèn)為TikTok在印度已經(jīng)超越了Instagram

PG One李小璐視頻泄露事件

只不過(guò)意外的是，這個(gè)被美媒曝光的漏洞事件，有可能解答PG One的“抖音之問(wèn)”，也有可能還他一個(gè)當(dāng)時(shí)“故意炒作”的清白。

2019年10月底，三段李小璐和PGone同框視頻，忽然流出，一石激起千層浪。

而且從視頻形式、玩法等特點(diǎn)，很快被指向抖音平臺(tái)。

此前，PG One曾有過(guò)復(fù)出嘗試，于是視頻流出后，不少吃瓜網(wǎng)友認(rèn)為是“故意炒作”，借機(jī)復(fù)出。

但很快，PG One就長(zhǎng)文回應(yīng)，一方面解釋與“嫂子”李小璐為何有如此恩愛(ài)視頻，另一方面也明確表示視頻并非主動(dòng)為之，并且提出質(zhì)問(wèn)：

為什么去年在抖音拍的視頻，在沒(méi)有任何外傳的前提下會(huì)被放出來(lái)？

PG One的粉絲也以此聲援：說(shuō)唱歌手都real，不是就不是，而且確實(shí)視頻沒(méi)有平臺(tái)logo。

其后還進(jìn)一步有網(wǎng)友爆料，稱該視頻時(shí)抖音員工通過(guò)抖音后臺(tái)，從PGone的草稿箱里下載下來(lái)的。

但抖音隨即回應(yīng)：草稿視頻不會(huì)上傳至后臺(tái)。并表示會(huì)進(jìn)一步展開(kāi)調(diào)查。

當(dāng)時(shí)也有眼尖的網(wǎng)友注意到，在抖音APP端的“隱私政策”中，有這樣一條：當(dāng)您發(fā)布音視頻時(shí)，在點(diǎn)擊“發(fā)布”確認(rèn)上傳之前，我們可能會(huì)將該音視頻臨時(shí)加載至服務(wù)器。

總之，一筆吃瓜糊涂賬，一堂隱私安全爭(zhēng)議課，最后跟大部分娛樂(lè)熱點(diǎn)一樣，很快被遺忘。

抖音官方后續(xù)也沒(méi)有進(jìn)一步再有公開(kāi)說(shuō)明。

TikTok回應(yīng)漏洞

在漏洞曝光后，抖音海外版也發(fā)表了公開(kāi)回應(yīng)，英中版本全文如下：

Luke Deshotels, PhD, TikTok Security Team: “TikTok is committed to protecting user data. Like many organizations, we encourage responsible security researchers to privately disclose zero day vulnerabilities to us. Before public disclosure, CheckPoint agreed that all reported issues were patched in the latest version of our app. We hope that this successful resolution will encourage future collaboration with security researchers.”

TikTok安全團(tuán)隊(duì)的Luke Deshotels博士表示，“不久前，網(wǎng)絡(luò)安全公司CheckPoint的研究團(tuán)隊(duì)向我們提交了他們發(fā)現(xiàn)的TikTok漏洞，我們已經(jīng)在TikTok的上一版本APP中修復(fù)了相關(guān)漏洞。我們感謝同時(shí)鼓勵(lì)更多白帽子團(tuán)隊(duì)用非公開(kāi)的方式向我們提供線索，幫助我們發(fā)現(xiàn)、修復(fù)漏洞，保護(hù)用戶網(wǎng)絡(luò)安全?！?/p>

至于抖音國(guó)內(nèi)版本是否存在類似漏洞，還沒(méi)有公開(kāi)說(shuō)明，不過(guò)如果有抖友擔(dān)憂，也可以及時(shí)更新最新版本。

從iOS版本迭代來(lái)看，12月剛好有一次大版本更新，但是否與漏洞修復(fù)相關(guān)？

版本更新資料和官方聲明中都沒(méi)有說(shuō)。

我們也問(wèn)了字節(jié)跳動(dòng)官方，截至發(fā)稿尚無(wú)說(shuō)明。

嗯，就醬~~

參考：

https://www.nytimes.com/2020/01/08/technology/tiktok-security-flaws.html?auth=login-google
https://www.theverge.com/2020/1/8/21050589/tiktok-patched-vulnerability-hackers-videos-china-bytedance-checkpoint

https://www.digitaltrends.com/social-media/tiktok-sms-vulnerability/

TikTok Riddled With Security Flaws

https://www.bbc.com/news/technology-51010408