Check Point Research揭全球熱門社群應用程式TikTok眾多資安漏洞
前言:
使用者IP位址、電子信箱等用戶個資無一倖免,暴露在風險下
2020年1月13日--全球網路安全解決方案領導廠商Check Point® Software Technologies Ltd.(NASDAQ股票代碼:CHKP)威脅情報部門Check Point Research今日揭露高人氣短影音平台TikTok的多項資安漏洞,包含允許攻擊者操縱使用者帳戶內容,甚至竊取保存在其中的個人機密資訊。
TikTok使用者以青少年和兒童為主,他們用來分享、儲存自己及親友的私人影片,有時也涵蓋非常敏感內容。Check Point Research發現,攻擊者可以向使用者發送一則包含惡意連結的偽造訊息。一旦使用者點擊這條惡意連結,攻擊者便能控制其TikTok帳戶並進行各種惡意操作,如刪除影片、上傳未經授權的影片以及將私人或「隱藏」影片公開等。
除此之外,TikTok 的子網域 https://ads.tiktok.com 很容易受到跨站指令碼(XSS)攻擊,這類攻擊是透過將惡意網頁程式碼(Malicious Script)植入原本安全可信的網站中進行的。Check Point研究人員利用這一漏洞即搜尋到了使用者帳戶中的個人資訊,包括個人電子信箱和生日。
Check Point Research向TikTok開發人員揭露了這次發現的漏洞,TikTok也已發布了修補程式,確保其使用者可以繼續安全地使用TikTok。
Check Point產品漏洞研究主管Oded Vanunu表示:「資料無處不在,但外洩事件卻頻繁發生,我們最新研究指出,一些最受歡迎的應用程式也在劫難逃。社群媒體應用程式極易遭到漏洞攻擊,因其擁有大量的私人資料及大面積的攻擊範圍。攻擊者正在花高成本、下大功夫向這些使用者量龐大的應用程式發起攻擊,但大多數使用者仍認為自己使用的應用程式非常安全。」
TikTok安全團隊Luke Deshotels博士表示:「TikTok高度重視使用者資料安全。跟許多企業一樣,我們鼓勵負責的安全研究人員向我們秘密揭發零時差漏洞;在公開漏洞之前,Check Point已確認最新版TikTok修復了這次所有發現的問題。我們希望透過這次順利化解危機,能促進未來更多類似的安全合作機會。」
TikTok覆蓋全球150多個國家和地區,提供75種語言,使用者數量超過10億,是下載次數最多的應用程式之一。截至2019年10月,TikTok為美國應用程式下載量排行榜榜首,是第一個創造此記錄的中國應用程式。
有關這項研究的更多資訊,請查看Check Point Research部落格。
關注Check Point
Facebook: https://www.facebook.com/checkpoint.tw/
部落格:https://research.checkpoint.com/
Twitter: https://twitter.com/_cpresearch_
關於 Check Point Research
Check Point Research 能夠為 Check Point Software 客戶以及整個情報界提供領先的網路威脅情報。Check Point 研究團隊負責蒐集和分析 ThreatCloud 儲存的全球網路攻擊數據,以便在防範駭客時,確保所有 Check Point 產品都享有最新保護措施。此外,該團隊由 100 多名分析師和研究人員組成,能夠與其他安全廠商、執法機關及各個計算機安全應急機關展開合作。
Check Point Research 能夠為 Check Point Software 客戶以及整個情報界提供領先的網路威脅情報。Check Point 研究團隊負責蒐集和分析 ThreatCloud 儲存的全球網路攻擊數據,以便在防範駭客時,確保所有 Check Point 產品都享有最新保護措施。此外,該團隊由 100 多名分析師和研究人員組成,能夠與其他安全廠商、執法機關及各個計算機安全應急機關展開合作。
關於 Check Point Software Technologies Ltd.
Check Point Software Technologies Ltd. (www.checkpoint.com) 是全球領先的政府與企業網路安全解決方案供應商,能夠保護客戶免於遭受第五代網路攻擊,對惡意軟體、勒索軟體與其他攻擊類型的攔截率領先業界其他廠商。Check Point 提供多層式安全架構、「Infinity」全面防護與針對第五代網路攻擊的進階威脅防護,來保護企業放置於雲端、網路與行動裝置上的資訊。Check Point提供最全面、最直觀的單點控制安全管理系統,並為超過 10 萬家各種規模的企業組織提供防禦措施。
Check Point Software Technologies Ltd. (www.checkpoint.com) 是全球領先的政府與企業網路安全解決方案供應商,能夠保護客戶免於遭受第五代網路攻擊,對惡意軟體、勒索軟體與其他攻擊類型的攔截率領先業界其他廠商。Check Point 提供多層式安全架構、「Infinity」全面防護與針對第五代網路攻擊的進階威脅防護,來保護企業放置於雲端、網路與行動裝置上的資訊。Check Point提供最全面、最直觀的單點控制安全管理系統,並為超過 10 萬家各種規模的企業組織提供防禦措施。
