Check Point揭TikTok資安漏洞

Check Point Software Technologies Ltd.威脅情報部門Check Point Research揭露高人氣短影音平台TikTok的多項資安漏洞，包含允許攻擊者操縱使用者帳戶內容，甚至竊取保存在其中的個人機密資訊。

TikTok使用者以青少年和兒童為主，他們用來分享、儲存自己及親友的私人影片，有時也涵蓋非常敏感內容。Check Point Research發現，攻擊者可以向使用者發送一則包含惡意連結的偽造訊息。一旦使用者點擊這條惡意連結，攻擊者便能控制其TikTok帳戶並進行各種惡意操作，如刪除影片、上傳未經授權的影片以及將私人或「隱藏」影片公開等。

除此之外，TikTok 的子網域很容易受到跨站指令碼攻擊，這類攻擊是透過將惡意網頁程式碼植入原本安全可信的網站中進行的。Check Point研究人員利用這一漏洞即搜尋到了使用者帳戶中的個人資訊，包括個人電子信箱和生日。

Check Point Research向TikTok開發人員揭露了這次發現的漏洞，TikTok也已發布了修補程式，確保其使用者可以繼續安全地使用TikTok。

Check Point產品漏洞研究主管Oded Vanunu表示，資料無處不在，但外洩事件卻頻繁發生，最新研究指出，受歡迎的應用程式也在劫難逃。社群媒體應用程式極易遭到漏洞攻擊，因其擁有大量的私人資料及大面積的攻擊範圍。攻擊者正在花高成本、下大功夫向這些使用者量龐大的應用程式發起攻擊，但大多數使用者仍認為自己使用的應用程式非常安全。

TikTok安全團隊Luke Deshotels博士表示，TikTok高度重視使用者資料安全。跟許多企業一樣，鼓勵負責的安全研究人員向我們秘密揭發零時差漏洞；在公開漏洞之前，Check Point已確認最新版TikTok修復了這次所有發現的問題。希望透過這次順利化解危機，能促進未來更多類似的安全合作機會。