TikTok(抖音)App 存有多個資安漏洞,惡意軟體可透過簡訊傳遞給用戶、用戶個資亦有曝光風險

 

資安廠商發現抖音(TikTok)存有多個資安漏洞,對用戶造成相當嚴重的資安風險。

資安廠商 Check Point 日前針對在全球都席捲年輕用戶,擁有破億使用者的短影音 UGC 服務「抖音」(Tik Tok)的多個資安漏洞發表研究報告;報告指出這個極受歡迎的 App 的資安漏洞,能讓駭侵者簡單地以傳送文字訊息的方式,將惡意軟體傳送給受害對象。

Check Point 指出,這個漏洞稱為「SMS link Spoofing」,可以讓駭侵者假冒 Tik Tok 名義,發送任何簡訊給任何電話號碼。

Check Point 說,在 Tik Tok 的官方主站上有個功能,可以讓用戶傳送簡訊給其他用戶,好讓對方下載 Tik Tok 的 App;駭侵者可透過中介工具攔截該站傳送 SMS 簡訊的 HTTP 請求,竄改其中的下載連結,改為下載惡意軟體的連結,接著再傳送給任意電話號碼。

收到這個詐騙簡訊的受害者,會以為自己下載的是 Tik Tok 的應用程式;如果真的點按了連結,就可能在自己的手機上安裝歹徒指定的任何惡意軟體。

Check Point 的資安專家,同時也在 Tik Tok 的 Android App 中的 Deep Link 功能也可能遭駭侵者竄改,駭侵者同樣可藉此傳送含有惡意連結的 SMS 簡訊給任意受害者,或是詐騙用戶安裝惡意軟體,或是將他們導向到其他釣魚網站。

Check Point 另外也在 Tik Tok 的廣告主機上發現 XSS 漏洞,另外也發現有數個 API 呼叫,可以用來取得特定用戶的個人資訊,包括 Email 地址、支付相關資訊,以及用戶生日等個資。

在 Check Point 向 Tik Tok 回報問題後,目前 Tik Tok 已修復上述漏洞。

影響產品:Tik Tok App 與官方網站

解決方案:App 更新至最新版本

相關連結

https://research.checkpoint.com/2020/tik-or-tok-is-tiktok-secure-enough/

https://www.computing.co.uk/news/3084911/tiktok-security-flaws

Scroll to Top