刚曝光的抖音海外版漏洞:一个链接就能公开你的私密视频-风君雪科技博客

  鱼羊 发自 凹非寺
  量子位 报道 公众号 QbitAI

  TikTok,抖音海外版,今天因为一个漏洞,再次成为热议焦点。

  这个安全漏洞,通俗来讲很简单:基于 TikTok 的基础架构设计,黑客可以有机会向用户发送恶意链接,然后“为所欲为。”

  也就说抖音海外版这个“家”,门锁有问题,攻击者开门进去——可以公开草稿箱视频、可以进一步窃取账户支付信息,甚至进一步还能接管用户帐号。

  发现漏洞的研究员说:考虑到 TikTok 全球有 15 亿用户,被别有用心之徒盯上就麻烦了。

  所以究竟是一个怎样的漏洞?

  抖音海外版安全漏洞

  漏洞发现者,是一家全球知名的以色列网络安全公司:Check Point

  总部位于特拉维夫,提供 IT 安全软件和硬件服务,是公认的全球首屈一指的 Internet 安全解决方案供应商。

  这种权威性,也让此次曝光的 TikTok 安全漏洞备受关注。

  Check Point 在研究和攻防中发现,抖音海外版——TikTok 的基础架构设计,使得黑客有机会向 TikTok 用户发送带有恶意链接的信息。

  通过这个漏洞,黑客能够操纵用户数据,攫取个人隐私数据

  在用户点击链接后,攻击者就能进一步发动攻击,接管其账户,包括上传视频访问私人视频

  具体来说,由于用户在注册 TikTok 时必须提供手机号码(跟国内抖音一样),而黑客可以访问到这些代码。于是,他们能伪装成“TikTok”,向用户发送信息,借此接管受害者账户控制权。

  一旦攻击成功,黑客差不多能为所欲为:

  • 删除视频,上传视频,公开私有视频
  • 将 TikTok 用户强制引向黑客控制的 Web 服务器,执行未经用户许可的操作请求
  • 将用户重定向到伪装成 TikTok 的恶意网站

  发现漏洞的安全人员还解释:

由于缺乏反跨站请求伪造机制,无需受害者同意,攻击者就可以执行 JavaScript 代码,替代受害者执行操作。

  并且,一旦攻击者获得用户账户的部分控制权,就可以通过 API 调用,获取该用户的隐私信息,包括姓名、电子邮箱、付款信息和生日等。

  Check Point 产品漏洞研究负责人——奥德·瓦努努(Oded Vanunu)表示,TikTok 在全球范围拥有接近 15 亿的用户数量,由于数据量巨大,这一产品成为了黑客的重点关注目标。

  而且由于 TikTok 这样的应用程序可以在多个平台上使用,因此恶意攻击很容易迅速升级。

  从这个解释里,也暗示“漏洞”不止于抖音海外版——TikTok,毕竟“15 亿用户数量”,那就可能要把国内版本也计算在内了。

  字节跳动回应:漏洞已修复

  不过这个漏洞是否涉及了抖音国内版?目前还不知道。

  字节跳动官方也没解释和说明。

  但时间上,漏洞被发现并提交的时间是 2019 年 11 月,当时 Check Point 按照江湖规矩,把漏洞报告给了字节跳动。

  其后 12 月 15 日,字节跳动方面回复:漏洞问题已得到修复——用的是 TikTok 之名。

刚曝光的抖音海外版漏洞:一个链接就能公开你的私密视频-风君雪科技博客

  然而,由于太平洋两岸形势,以及美国对中国公司旗下产品的隐私安全担忧,这个漏洞不再是一个安全漏洞那么简单。

  最近 TikTok,刚因为被美军禁用引起过关注。

  而现在“安全漏洞”,无异于火上浇油。

  《纽约时报》就评论称,在美国军方禁止士兵使用抖音之后,Check Point 发现的漏洞可能会使这些问题更加复杂。

  Digital Trends 也表示,TikTok 正在受到美国立法者的关注,而诸如此类的隐私漏洞会进一步加剧这些担忧。

  纽约时报还指出,由于抖音的用户以年轻人为主,他们可能对安全更新并没有那么在意,这也给黑客带来了可乘之机。

  虽然确实有点被针对,但抖音海外版,也是“欲戴王冠必承其重”。

  抖音在海外有多火?

  2017 年以 10 亿美元的价格收购短视频应用 Musical.ly 之后,字节跳动将这一拥有 2.4 亿注册用户的 App 与抖音国际版 TikTok 进行了合并,推向国际市场。

  此后,抖音这一中国最受欢迎的短视频 App,在海外市场也实现了病毒式扩张,成为包括美国、日本、法国、印度等多个国家下载量最高的社交软件,全球用户已接近 15 亿。

  在美国,TikTok 有超过 1.1 亿的下载量,多次进入美国苹果应用商店下载量前三甲。

  在日本,据日本电视台 NTV 报道,移动互联网用户中每十个人里就有一个人使用或下载 TikTok。

  而据《巴黎人报》报道:38% 的法国青少年(11 岁至 14 岁)拥有 TikTok 账号。

  在印度,5 亿智能手机用户里,有 2 亿都是 TikTok 用户。

  其在青少年群体中的发展势头,俨然超过 Facebook、Instagram 等一众社交媒体。

  连 Facebook 创始人扎克伯格都在内部会议上承认,TikTok 是中国科技巨头在世界范围内首个表现出色的消费互联网产品。

就规模而言,我认为 TikTok 在印度已经超越了 Instagram

  PG One 李小璐视频泄露事件

  只不过意外的是,这个被美媒曝光的漏洞事件,有可能解答 PG One 的“抖音之问”,也有可能还他一个当时“故意炒作”的清白。

  2019 年 10 月底,三段李小璐和 PGone 同框视频,忽然流出,一石激起千层浪。

刚曝光的抖音海外版漏洞:一个链接就能公开你的私密视频-风君雪科技博客

  而且从视频形式、玩法等特点,很快被指向抖音平台。

  此前,PG One 曾有过复出尝试,于是视频流出后,不少吃瓜网友认为是“故意炒作”,借机复出。

  但很快,PG One 就长文回应,一方面解释与“嫂子”李小璐为何有如此恩爱视频,另一方面也明确表示视频并非主动为之,并且提出质问:

为什么去年在抖音拍的视频,在没有任何外传的前提下会被放出来?

刚曝光的抖音海外版漏洞:一个链接就能公开你的私密视频-风君雪科技博客

  PG One 的粉丝也以此声援:说唱歌手都 real,不是就不是,而且确实视频没有平台 logo。

  其后还进一步有网友爆料,称该视频时抖音员工通过抖音后台,从 PGone 的草稿箱里下载下来的。

  但抖音随即回应:草稿视频不会上传至后台。并表示会进一步展开调查。

刚曝光的抖音海外版漏洞:一个链接就能公开你的私密视频-风君雪科技博客

  当时也有眼尖的网友注意到,在抖音 APP 端的“隐私政策”中,有这样一条:当您发布音视频时,在点击“发布”确认上传之前,我们可能会将该音视频临时加载至服务器。

刚曝光的抖音海外版漏洞:一个链接就能公开你的私密视频-风君雪科技博客

  总之,一笔吃瓜糊涂账,一堂隐私安全争议课,最后跟大部分娱乐热点一样,很快被遗忘。

  抖音官方后续也没有进一步再有公开说明。

  TikTok 回应漏洞

  在漏洞曝光后,抖音海外版也发表了公开回应,英中版本全文如下:

Luke Deshotels, PhD, TikTok Security Team: “TikTok is committed to protecting user data. Like many organizations, we encourage responsible security researchers to privately disclose zero day vulnerabilities to us. Before public disclosure, CheckPoint agreed that all reported issues were patched in the latest version of our app. We hope that this successful resolution will encourage future collaboration with security researchers.”

TikTok 安全团队的 Luke Deshotels 博士表示,“不久前,网络安全公司 CheckPoint 的研究团队向我们提交了他们发现的 TikTok 漏洞,我们已经在 TikTok 的上一版本 APP 中修复了相关漏洞。我们感谢同时鼓励更多白帽子团队用非公开的方式向我们提供线索,帮助我们发现、修复漏洞,保护用户网络安全。”

  至于抖音国内版本是否存在类似漏洞,还没有公开说明,不过如果有抖友担忧,也可以及时更新最新版本。

刚曝光的抖音海外版漏洞:一个链接就能公开你的私密视频-风君雪科技博客

  从 iOS 版本迭代来看,12 月刚好有一次大版本更新,但是否与漏洞修复相关?

  版本更新资料和官方声明中都没有说。

  我们也问了字节跳动官方,截至发稿尚无说明。

  嗯,就酱~~