魚羊發(fā)自凹非寺
　　量子位報(bào)道公眾號QbitAI

　　TikTok，抖音海外版，今天因?yàn)橐粋€(gè)漏洞，再次成為熱議焦點(diǎn)。

　　這個(gè)安全漏洞，通俗來講很簡單：基于 TikTok 的基礎(chǔ)架構(gòu)設(shè)計(jì)，黑客可以有機(jī)會(huì)向用戶發(fā)送惡意鏈接，然后“為所欲為。”

　　也就說抖音海外版這個(gè)“家”，門鎖有問題，攻擊者開門進(jìn)去——可以公開草稿箱視頻、可以進(jìn)一步竊取賬戶支付信息，甚至進(jìn)一步還能接管用戶帳號。

　　發(fā)現(xiàn)漏洞的研究員說：考慮到 TikTok 全球有 15 億用戶，被別有用心之徒盯上就麻煩了。

　　所以究竟是一個(gè)怎樣的漏洞？

　　抖音海外版安全漏洞

　　漏洞發(fā)現(xiàn)者，是一家全球知名的以色列網(wǎng)絡(luò)安全公司：Check Point。

　　總部位于特拉維夫，提供 IT 安全軟件和硬件服務(wù)，是公認(rèn)的全球首屈一指的 Internet 安全解決方案供應(yīng)商。

　　這種權(quán)威性，也讓此次曝光的 TikTok 安全漏洞備受關(guān)注。

　　Check Point 在研究和攻防中發(fā)現(xiàn)，抖音海外版——TikTok 的基礎(chǔ)架構(gòu)設(shè)計(jì)，使得黑客有機(jī)會(huì)向 TikTok 用戶發(fā)送帶有惡意鏈接的信息。

　　通過這個(gè)漏洞，黑客能夠操縱用戶數(shù)據(jù)，攫取個(gè)人隱私數(shù)據(jù)。

　　在用戶點(diǎn)擊鏈接后，攻擊者就能進(jìn)一步發(fā)動(dòng)攻擊，接管其賬戶，包括上傳視頻、訪問私人視頻。

　　具體來說，由于用戶在注冊 TikTok 時(shí)必須提供手機(jī)號碼（跟國內(nèi)抖音一樣），而黑客可以訪問到這些代碼。于是，他們能偽裝成“TikTok”，向用戶發(fā)送信息，借此接管受害者賬戶控制權(quán)。

　　一旦攻擊成功，黑客差不多能為所欲為：

• 刪除視頻，上傳視頻，公開私有視頻
• 將 TikTok 用戶強(qiáng)制引向黑客控制的 Web 服務(wù)器，執(zhí)行未經(jīng)用戶許可的操作請求
• 將用戶重定向到偽裝成 TikTok 的惡意網(wǎng)站

　　發(fā)現(xiàn)漏洞的安全人員還解釋：

由于缺乏反跨站請求偽造機(jī)制，無需受害者同意，攻擊者就可以執(zhí)行 JavaScript 代碼，替代受害者執(zhí)行操作。

　　并且，一旦攻擊者獲得用戶賬戶的部分控制權(quán)，就可以通過 API 調(diào)用，獲取該用戶的隱私信息，包括姓名、電子郵箱、付款信息和生日等。

　　Check Point 產(chǎn)品漏洞研究負(fù)責(zé)人——奧德·瓦努努（Oded Vanunu）表示，TikTok 在全球范圍擁有接近 15 億的用戶數(shù)量，由于數(shù)據(jù)量巨大，這一產(chǎn)品成為了黑客的重點(diǎn)關(guān)注目標(biāo)。

　　而且由于 TikTok 這樣的應(yīng)用程序可以在多個(gè)平臺(tái)上使用，因此惡意攻擊很容易迅速升級。

　　從這個(gè)解釋里，也暗示“漏洞”不止于抖音海外版——TikTok，畢竟“15 億用戶數(shù)量”，那就可能要把國內(nèi)版本也計(jì)算在內(nèi)了。

　　字節(jié)跳動(dòng)回應(yīng)：漏洞已修復(fù)

　　不過這個(gè)漏洞是否涉及了抖音國內(nèi)版？目前還不知道。

　　字節(jié)跳動(dòng)官方也沒解釋和說明。

　　但時(shí)間上，漏洞被發(fā)現(xiàn)并提交的時(shí)間是 2019 年 11 月，當(dāng)時(shí) Check Point 按照江湖規(guī)矩，把漏洞報(bào)告給了字節(jié)跳動(dòng)。

　　其后 12 月 15 日，字節(jié)跳動(dòng)方面回復(fù)：漏洞問題已得到修復(fù)——用的是 TikTok 之名。

　　然而，由于太平洋兩岸形勢，以及美國對中國公司旗下產(chǎn)品的隱私安全擔(dān)憂，這個(gè)漏洞不再是一個(gè)安全漏洞那么簡單。

　　最近 TikTok，剛因?yàn)楸幻儡娊靡疬^關(guān)注。

　　而現(xiàn)在“安全漏洞”，無異于火上澆油。

　　《紐約時(shí)報(bào)》就評論稱，在美國軍方禁止士兵使用抖音之后，Check Point 發(fā)現(xiàn)的漏洞可能會(huì)使這些問題更加復(fù)雜。

　　Digital Trends 也表示，TikTok 正在受到美國立法者的關(guān)注，而諸如此類的隱私漏洞會(huì)進(jìn)一步加劇這些擔(dān)憂。

　　紐約時(shí)報(bào)還指出，由于抖音的用戶以年輕人為主，他們可能對安全更新并沒有那么在意，這也給黑客帶來了可乘之機(jī)。

　　雖然確實(shí)有點(diǎn)被針對，但抖音海外版，也是“欲戴王冠必承其重”。

　　抖音在海外有多火？

　　2017 年以 10 億美元的價(jià)格收購短視頻應(yīng)用 Musical.ly 之后，字節(jié)跳動(dòng)將這一擁有 2.4 億注冊用戶的 App 與抖音國際版 TikTok 進(jìn)行了合并，推向國際市場。

　　此后，抖音這一中國最受歡迎的短視頻 App，在海外市場也實(shí)現(xiàn)了病毒式擴(kuò)張，成為包括美國、日本、法國、印度等多個(gè)國家下載量最高的社交軟件，全球用戶已接近 15 億。

　　在美國，TikTok 有超過 1.1 億的下載量，多次進(jìn)入美國蘋果應(yīng)用商店下載量前三甲。

　　在日本，據(jù)日本電視臺(tái) NTV 報(bào)道，移動(dòng)互聯(lián)網(wǎng)用戶中每十個(gè)人里就有一個(gè)人使用或下載 TikTok。

　　而據(jù)《巴黎人報(bào)》報(bào)道：38% 的法國青少年（11 歲至 14 歲）擁有 TikTok 賬號。

　　在印度，5 億智能手機(jī)用戶里，有 2 億都是 TikTok 用戶。

　　其在青少年群體中的發(fā)展勢頭，儼然超過 Facebook、Instagram 等一眾社交媒體。

　　連 Facebook 創(chuàng)始人扎克伯格都在內(nèi)部會(huì)議上承認(rèn)，TikTok 是中國科技巨頭在世界范圍內(nèi)首個(gè)表現(xiàn)出色的消費(fèi)互聯(lián)網(wǎng)產(chǎn)品。

就規(guī)模而言，我認(rèn)為 TikTok 在印度已經(jīng)超越了 Instagram

　　PG One 李小璐視頻泄露事件

　　只不過意外的是，這個(gè)被美媒曝光的漏洞事件，有可能解答 PG One 的“抖音之問”，也有可能還他一個(gè)當(dāng)時(shí)“故意炒作”的清白。

　　2019 年 10 月底，三段李小璐和 PGone 同框視頻，忽然流出，一石激起千層浪。

　　而且從視頻形式、玩法等特點(diǎn)，很快被指向抖音平臺(tái)。

　　此前，PG One 曾有過復(fù)出嘗試，于是視頻流出后，不少吃瓜網(wǎng)友認(rèn)為是“故意炒作”，借機(jī)復(fù)出。

　　但很快，PG One 就長文回應(yīng)，一方面解釋與“嫂子”李小璐為何有如此恩愛視頻，另一方面也明確表示視頻并非主動(dòng)為之，并且提出質(zhì)問：

為什么去年在抖音拍的視頻，在沒有任何外傳的前提下會(huì)被放出來？

　　PG One 的粉絲也以此聲援：說唱歌手都 real，不是就不是，而且確實(shí)視頻沒有平臺(tái) logo。

　　其后還進(jìn)一步有網(wǎng)友爆料，稱該視頻時(shí)抖音員工通過抖音后臺(tái)，從 PGone 的草稿箱里下載下來的。

　　但抖音隨即回應(yīng)：草稿視頻不會(huì)上傳至后臺(tái)。并表示會(huì)進(jìn)一步展開調(diào)查。

　　當(dāng)時(shí)也有眼尖的網(wǎng)友注意到，在抖音 APP 端的“隱私政策”中，有這樣一條：當(dāng)您發(fā)布音視頻時(shí)，在點(diǎn)擊“發(fā)布”確認(rèn)上傳之前，我們可能會(huì)將該音視頻臨時(shí)加載至服務(wù)器。

　　總之，一筆吃瓜糊涂賬，一堂隱私安全爭議課，最后跟大部分娛樂熱點(diǎn)一樣，很快被遺忘。

　　抖音官方后續(xù)也沒有進(jìn)一步再有公開說明。

　　TikTok 回應(yīng)漏洞

　　在漏洞曝光后，抖音海外版也發(fā)表了公開回應(yīng)，英中版本全文如下：

Luke Deshotels, PhD, TikTok Security Team: “TikTok is committed to protecting user data. Like many organizations, we encourage responsible security researchers to privately disclose zero day vulnerabilities to us. Before public disclosure, CheckPoint agreed that all reported issues were patched in the latest version of our app. We hope that this successful resolution will encourage future collaboration with security researchers.”

TikTok 安全團(tuán)隊(duì)的 Luke Deshotels 博士表示，“不久前，網(wǎng)絡(luò)安全公司 CheckPoint 的研究團(tuán)隊(duì)向我們提交了他們發(fā)現(xiàn)的 TikTok 漏洞，我們已經(jīng)在 TikTok 的上一版本 APP 中修復(fù)了相關(guān)漏洞。我們感謝同時(shí)鼓勵(lì)更多白帽子團(tuán)隊(duì)用非公開的方式向我們提供線索，幫助我們發(fā)現(xiàn)、修復(fù)漏洞，保護(hù)用戶網(wǎng)絡(luò)安全。”

　　至于抖音國內(nèi)版本是否存在類似漏洞，還沒有公開說明，不過如果有抖友擔(dān)憂，也可以及時(shí)更新最新版本。

　　從 iOS 版本迭代來看，12 月剛好有一次大版本更新，但是否與漏洞修復(fù)相關(guān)？

　　版本更新資料和官方聲明中都沒有說。

　　我們也問了字節(jié)跳動(dòng)官方，截至發(fā)稿尚無說明。

　　嗯，就醬~~

總結(jié)

以上是生活随笔為你收集整理的刚曝光的抖音海外版漏洞：一个链接就能公开你的私密视频的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。