一个链接就能公开你的私密视频！抖音海外版被曝漏洞

（原标题：刚曝光的抖音海外版漏洞：一个链接就能公开你的私密视频，窃取隐私、接管帐号都不在话下）

鱼羊 发自 凹非寺

量子位 报道 | 公众号 QbitAI

TikTok，抖音海外版，今天因为一个漏洞，再次成为热议焦点。

这个安全漏洞，通俗来讲很简单：基于TikTok的基础架构设计，黑客可以有机会向用户发送恶意链接，然后“为所欲为。”

也就说抖音海外版这个“家”，门锁有问题，攻击者开门进去——可以公开草稿箱视频、可以进一步窃取账户支付信息，甚至进一步还能接管用户帐号。

发现漏洞的研究员说：考虑到TikTok全球有15亿用户，被别有用心之徒盯上就麻烦了。

所以究竟是一个怎样的漏洞？

抖音海外版安全漏洞

漏洞发现者，是一家全球知名的以色列网络安全公司：Check Point。

总部位于特拉维夫，提供IT安全软件和硬件服务，是公认的全球首屈一指的Internet安全解决方案供应商。

这种权威性，也让此次曝光的TikTok安全漏洞备受关注。

Check Point在研究和攻防中发现，抖音海外版——TikTok的基础架构设计，使得黑客有机会向TikTok用户发送带有恶意链接的信息。

通过这个漏洞，黑客能够操纵用户数据，攫取个人隐私数据。

在用户点击链接后，攻击者就能进一步发动攻击，接管其账户，包括上传视频、访问私人视频。

具体来说，由于用户在注册TikTok时必须提供手机号码（跟国内抖音一样），而黑客可以访问到这些代码。于是，他们能伪装成“TikTok”，向用户发送信息，借此接管受害者账户控制权。

一旦攻击成功，黑客差不多能为所欲为：

删除视频，上传视频，公开私有视频

将TikTok用户强制引向黑客控制的Web服务器，执行未经用户许可的操作请求

将用户重定向到伪装成TikTok的恶意网站

发现漏洞的安全人员还解释：

由于缺乏反跨站请求伪造机制，无需受害者同意，攻击者就可以执行JavaScript代码，替代受害者执行操作。

并且，一旦攻击者获得用户账户的部分控制权，就可以通过API调用，获取该用户的隐私信息，包括姓名、电子邮箱、付款信息和生日等。

Check Point产品漏洞研究负责人——奥德·瓦努努（Oded Vanunu）表示，TikTok在全球范围拥有接近15亿的用户数量，由于数据量巨大，这一产品成为了黑客的重点关注目标。

而且由于TikTok这样的应用程序可以在多个平台上使用，因此恶意攻击很容易迅速升级。

从这个解释里，也暗示“漏洞”不止于抖音海外版——TikTok，毕竟“15亿用户数量”，那就可能要把国内版本也计算在内了。

字节跳动回应：漏洞已修复

不过这个漏洞是否涉及了抖音国内版？目前还不知道。

字节跳动官方也没解释和说明。

但时间上，漏洞被发现并提交的时间是2019年11月，当时Check Point按照江湖规矩，把漏洞报告给了字节跳动。

其后12月15日，字节跳动方面回复：漏洞问题已得到修复——用的是TikTok之名。

然而，由于太平洋两岸形势，以及美国对中国公司旗下产品的隐私安全担忧，这个漏洞不再是一个安全漏洞那么简单。

最近TikTok，刚因为被美军禁用引起过关注。

而现在“安全漏洞”，无异于火上浇油。

《纽约时报》就评论称，在美国军方禁止士兵使用抖音之后，Check Point发现的漏洞可能会使这些问题更加复杂。

Digital Trends也表示，TikTok正在受到美国立法者的关注，而诸如此类的隐私漏洞会进一步加剧这些担忧。

纽约时报还指出，由于抖音的用户以年轻人为主，他们可能对安全更新并没有那么在意，这也给黑客带来了可乘之机。

虽然确实有点被针对，但抖音海外版，也是“欲戴王冠必承其重”。

抖音在海外有多火？

2017年以10亿美元的价格收购短视频应用Musical.ly之后，字节跳动将这一拥有2.4亿注册用户的App与抖音国际版TikTok进行了合并，推向国际市场。

此后，抖音这一中国最受欢迎的短视频App，在海外市场也实现了病毒式扩张，成为包括美国、日本、法国、印度等多个国家下载量最高的社交软件，全球用户已接近15亿。

在美国，TikTok有超过1.1亿的下载量，多次进入美国苹果应用商店下载量前三甲。

在日本，据日本电视台NTV报道，移动互联网用户中每十个人里就有一个人使用或下载TikTok。

而据《巴黎人报》报道：38%的法国青少年（11岁至14岁）拥有TikTok账号。

在印度，5亿智能手机用户里，有2亿都是TikTok用户。

其在青少年群体中的发展势头，俨然超过Facebook、Instagram等一众社交媒体。

连Facebook创始人扎克伯格都在内部会议上承认，TikTok是中国科技巨头在世界范围内首个表现出色的消费互联网产品。

就规模而言，我认为TikTok在印度已经超越了Instagram

只不过意外的是，这个被美媒曝光的漏洞事件，有可能解答PG One的“抖音之问”，也有可能还他一个当时“故意炒作”的清白。

2019年10月底，三段李小璐和PGone同框视频，忽然流出，一石激起千层浪。

而且从视频形式、玩法等特点，很快被指向抖音平台。

此前，PG One曾有过复出尝试，于是视频流出后，不少吃瓜网友认为是“故意炒作”，借机复出。

但很快，PG One就长文回应，一方面解释与“嫂子”李小璐为何有如此恩爱视频，另一方面也明确表示视频并非主动为之，并且提出质问：

为什么去年在抖音拍的视频，在没有任何外传的前提下会被放出来？

PG One的粉丝也以此声援：说唱歌手都real，不是就不是，而且确实视频没有平台logo。

其后还进一步有网友爆料，称该视频时抖音员工通过抖音后台，从PGone的草稿箱里下载下来的。

但抖音随即回应：草稿视频不会上传至后台。并表示会进一步展开调查。

当时也有眼尖的网友注意到，在抖音APP端的“隐私政策”中，有这样一条：当您发布音视频时，在点击“发布”确认上传之前，我们可能会将该音视频临时加载至服务器。

总之，一笔吃瓜糊涂账，一堂隐私安全争议课，最后跟大部分娱乐热点一样，很快被遗忘。

抖音官方后续也没有进一步再有公开说明。

TikTok回应漏洞

在漏洞曝光后，抖音海外版也发表了公开回应，英中版本全文如下：

（编辑：52刷机网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!