[新聞] 資安業者揭抖音漏洞帳戶內容可能被操縱

看板MobileComm作者peterlin495 (專業果粉O'_'O)時間5年前 (2020/01/15 15:03)推噓5(6推 1噓 2→)

留言9則, 9人參與討論串1/1

資安業者揭抖音漏洞帳戶內容可能被操縱（中央社記者吳家豪台北13日電）網路安全廠商Check Point旗下威脅情報部門Check Point Research近日揭露中國社群媒體抖音（TikTok）多項資安漏洞，包含允許攻擊者操縱使用者帳戶內容等；抖音已發布修補程式。 Check Point Research表示，抖音使用者以青少年和兒童為主，用來分享、儲存自己及親友的私人影片，有時也涵蓋敏感內容。Check Point Research發現，攻擊者可以向使用者發送一則包含惡意連結的偽造訊息，一旦使用者點擊這條惡意連結，攻擊者便能控制抖音帳戶並進行各種惡意操作，例如刪除影片、上傳未經授權的影片以及將私人或隱藏影片公開等。 Check Point Research也發現，抖音的子網域https://ads.tiktok.com很容易受到跨站指令碼（XSS）攻擊，這類攻擊會將惡意網頁程式碼植入原本安全可信的網站中。Check Point研究人員利用這項漏洞搜尋到使用者帳戶中個人資訊，包括個人電子信箱和生日。 Check Point Research已向抖音開發人員揭露這次發現的漏洞，抖音也已發布修補程式，確保使用者可以安全使用。 Check Point產品漏洞研究主管范努努（Oded Vanunu）表示，社群媒體應用程式極易遭到漏洞攻擊，因為擁有大量的私人資料及大面積的攻擊範圍。攻擊者正在花高成本、下大功夫向這些使用者量龐大的應用程式發起攻擊，但大多數使用者仍認為自己使用的應用程式非常安全。抖音安全團隊負責人迪修特斯（Luke Deshotels）說，抖音高度重視使用者資料安全，並鼓勵負責的安全研究人員向抖音秘密揭發零時差漏洞（指尚未被修補的漏洞）。在公開漏洞之前，Check Point已確認最新版抖音修復這次所有發現的問題。根據紐約時報引述App分析公司Sensor Tower的數據，過去一年抖音下載次數超過7.5億次，比臉書（Facebook）、Instagram、YouTube、Snapchat等平台多出數千萬次。然而在美國陸軍、海軍及陸戰隊以抖音構成安全威脅為由，相繼禁止在政府公發手機使用抖音後，美國空軍及海岸防衛隊也跟進禁用。（編輯：郭萍英）1090113 https://www.cna.com.tw/news/firstnews/202001130128.aspx 心得' 有點可怕,但是還好抖音動作迅速，現在最新版已經修正了，如果還沒更新的記得趕快去更新成最新版，就不用擔心了. -- Sent from my Samsung Galaxy Note10+ ○ PiTT // PHJCI -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 223.138.136.46 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/MobileComm/M.1579071782.A.8FC.html

推

ls4860

01/15 15:05, 5年前 , 1^F

01/15 15:05, 1^F

推

chitsaijang

01/15 15:28, 5年前 , 2^F

01/15 15:28, 2^F

推

wetor

01/15 15:55, 5年前 , 3^F

01/15 15:55, 3^F