TikTok的SMS系统漏洞使攻击者能够窃取个人信息

安全研究人员发现了位于北京的ButeDance拥有的TikTok的各种漏洞，这些漏洞使潜在的黑客可以劫持用户的帐户并操纵上传的视频和个人信息。

TikTok是一个著名的社交媒体平台，现在已有大量用户参与该平台。根据Sensor Tower Store Intelligence估计的11月份统计数据，它在Google Play上的安装人数超过500，000，000，在移动平台上的安装人数超过15亿。它用于共享3到60秒的简短循环移动视频。

Check Point研究人员在一份报告中指出，Tittok应用程序及其后端很容易受到攻击。在11月披露安全问题后的一个月内，修复了该漏洞的ByteDance。

Check Point产品漏洞研究部主管Oded Vanunu说：“数据无处不在，但数据泄露正在成为一种流行病，我们的最新研究表明最受欢迎的应用仍处于危险之中。”

“社交媒体应用程序非常容易受到漏洞的攻击，因为它们为私人数据提供了良好的来源，并提供了良好的攻击面门。”

TikTok上的脆弱SMS系统

CheckPoint表示，TikTok的SMS系统允许攻击者通过添加和删除视频来操纵帐户数据，更改视频隐私设置以及渗出用户名，电子邮件地址，生日和与用户相关的其他个人数据。根据Check Point研究人员的说法，攻击者利用系统上的漏洞上传未经授权的视频并删除上传的视频，将用户的视频从私人转移到公共场所并窃取个人信息。

为了执行这些恶意操作，攻击者可以通过短信将应用下载链接发送到用户的电话号码，从而给人以来自TikTok的印象。此外，可以将用户重定向到攻击者控制的Web服务器上。

“重定向打开了在未经用户同意的情况下完成跨站点请求伪造（CSRF），跨站点脚本（XSS）和敏感数据暴露攻击的可能性。”

“ TikTok致力于保护用户数据。像许多组织一样，我们鼓励负责任的安全研究人员向我们秘密披露零日漏洞”，TikTok安全团队Luke Deshotels说。

 在公开披露之前，CheckPoint同意将这些漏洞修补到该应用程序的最新版本上。

TikTok禁止士兵政府发布的智能手机

Check Point研究的披露是在美国陆军，海军，海军陆战队和空军等军事部门禁止TikTok之后做出的。

陆军发言人罗宾·奥乔亚中校说：“这被认为是网络威胁。我们不允许在政府电话上使用它。”

“警惕您下载的应用程序，监视手机中是否存在异常和未经请求的文本等，并立即将其删除并卸载TikTok以规避任何个人信息的泄露。”，这也是所有国防部门员工的新准则。

随后，美国参议员查克·舒默（Chuck Schumer）和汤姆·科顿（Tom Cotton）随后在10月发送给国家情报署署长，要求评估TikTok和在美国运营的其他中国内容平台带来的国家安全风险。

舒默还发表了一份声明，称对TikTok的国家安全调查证实了参议员的担忧，即像TikTok这样的应用程序可能对数百万美国人构成严重风险，并在路透社报道美国政府开始对美国政府进行调查时作出回应，应对此进行进一步审查。 TikTok的所有者ByteDance从2017年11月起收购美国社交应用music.ly，因为其存在潜在的国家安全风险。

tiktok美国总经理Vanessa pappas回答说，所有tiktok都在美国存储用户数据，并在新加坡提供备份冗余。她在10月下旬说：“我们的数据中心完全位于中国境外，我们的数据均不受中国法律的约束。”

“ TikTok的数据中心完全位于中国境外。”她还表示，该公司拥有“专注于遵守强大的网络安全策略以及数据隐私和安全实践的专门技术团队。”这是pappas一个月后重申的。