TikTok的SMS系统漏洞使攻击者能够窃取个人信息
安全研究人员发现了位于北京的ButeDance拥有的TikTok的各种漏洞,这些漏洞使潜在的黑客可以劫持用户的帐户并操纵上传的视频和个人信息。 TikTok是一个著名的社交媒体平台,现在已有大量用户参与该平台。根据Sensor Tower Store Intelligence估计的11月份统计数据,它在Google Play上的安装人数超过500,000,000,在移动平台上的安装人数超过15亿。它用于共享3到60秒的简短循环移动视频。 Check Point研究人员在一份报告中指出,Tittok应用程序及其后端很容易受到攻击。在11月披露安全问题后的一个月内,修复了该漏洞的ByteDance。 Check Point产品漏洞研究部主管Oded Vanunu说:“数据无处不在,但数据泄露正在成为一种流行病,我们的最新研究表明最受欢迎的应用仍处于危险之中。” “社交媒体应用程序非常容易受到漏洞的攻击,因为它们为私人数据提供了良好的来源,并提供了良好的攻击面门。” TikTok上的脆弱SMS系统 CheckPoint表示,TikTok的SMS系统允许攻击者通过添加和删除视频来操纵帐户数据,更改视频隐私设置以及渗出用户名,电子邮件地址,生日和与用户相关的其他个人数据。根据Check Point研究人员的说法,攻击者利用系统上的漏洞上传未经授权的视频并删除上传的视频,将用户的视频从私人转移到公共场所并窃取个人信息。 为了执行这些恶意操作,攻击者可以通过短信将应用下载链接发送到用户的电话号码,从而给人以来自TikTok的印象。此外,可以将用户重定向到攻击者控制的Web服务器上。 “重定向打开了在未经用户同意的情况下完成跨站点请求伪造(CSRF),跨站点脚本(XSS)和敏感数据暴露攻击的可能性。” “ TikTok致力于保护用户数据。像许多组织一样,我们鼓励负责任的安全研究人员向我们秘密披露零日漏洞”,TikTok安全团队Luke Deshotels说。...
