抖音海外版抖音海外版漏洞曝光：一个链接就能公开你的私密视频还能接管帐号

鱼和羊来自奥菲寺

量子报告| QbitAI，微信官方账号

颤音的海外版TikTok，因为一个漏洞，今天再次成为热门话题。

这个安全漏洞通常很简单:根据TikTok的基础设施设计，黑客可以有机会向用户发送恶意链接，然后“为所欲为”

也就是说，在海外版颤音的“家”里，门锁有问题，攻击者开门进去——可以泄露草稿框视频，进一步窃取账号支付信息，甚至进一步接管用户账号。

发现漏洞的研究员说:考虑到TikTok全球有15亿用户，被别有用心的人盯上就麻烦了。

那么是什么样的漏洞呢？

漏洞的发现者是世界知名的以色列网络安全公司:Check Point。

IT总部位于特拉维夫，提供IT安全软硬件服务，被公认为全球领先的互联网安全解决方案提供商。

这种权威性也使得这次暴露的TikTok安全漏洞备受关注。

在研究和攻防中，Check Point发现TikTok的基础设施设计，海外版的颤音，给了黑客向TikTok用户发送带有恶意链接的消息的机会。

通过此漏洞，黑客可以操纵用户数据并窃取个人隐私数据。

具体来说，由于用户在注册TikTok时必须提供手机号码，黑客可以访问这些代码。因此，他们可以伪装成“TikTok”，向用户发送消息，从而接管对受害者账户的控制。

一旦攻击成功，黑客几乎可以为所欲为:删除视频、上传视频、泄露私人视频

未经用户许可，强行将TikTok用户带到黑客控制的网络服务器，执行操作请求

将用户重定向到伪装成TikTok的恶意网站

发现漏洞的安全人员还解释说，由于缺乏反跨站点请求伪造机制，攻击者可以在未经受害者同意的情况下代替受害者执行JavaScript代码。

此外，一旦攻击者获得对用户账户的部分控制权，他就可以通过API调用获得用户的私人信息，包括姓名、电子邮件地址、支付信息和生日。

Check Point的产品漏洞研究主管Odd vanunu表示，TikTok在全球拥有近15亿用户，由于数据量巨大，该产品已成为黑客的主要目标。

此外，由于像TikTok这样的应用程序可以在多个平台上使用，恶意攻击很容易迅速升级。

从这个解释中，也暗示了“漏洞”并不仅限于——TikTok，颤音的海外版。毕竟“用户数15亿”，所以国产版可能要算进去。

字节跳动回应道:漏洞已经修复

但是这个漏洞涉及到国内版颤音吗？我还不知道。

字节跳动当局没有对此进行解释或说明。

但及时发现了漏洞，并于2019年11月提交，当时Check Point根据江湖规则向字节跳动报告了该漏洞。

然后，12月15日，字节跳动回复:漏洞问题已经解决——以TikTok的名义。

但由于太平洋两岸的局势，以及美国对中国公司拥有的产品隐私和安全的担忧，这个漏洞已经不是安全漏洞那么简单了。

最近，TikTok因为被美国军方禁止而引起了关注。

现在，“安全漏洞”无异于火上浇油。

《纽约时报》评论称，美军禁止士兵使用颤音后，Check Point发现的漏洞可能会让这些问题更加复杂。

数字趋势还表示，TikTok正在吸引美国立法者的注意力，这种隐私漏洞将进一步加剧这些担忧。

《纽约时报》也指出，由于颤音的用户主要是年轻人，他们可能不会那么在意安全更新，这也给黑客带来了机会。

虽然有点针对性，但海外版颤音也是“要戴皇冠，就得承受它的重量”。

颤音在海外有多火？

在2017年以10亿美元收购了短视频《音乐应用程序》后，字节跳动将这个拥有2.4亿注册用户的应用程序与颤音的国际版本TikTok合并，并将其推向国际市场。

此后，中国最受欢迎的短视频App颤音也在海外市场实现了病毒式扩张，成为包括美国、日本、法国和印度在内的许多国家下载量最大的社交软件，在全球拥有近15亿用户。

在美国，TikTok的下载量超过1.1亿次，并多次进入美国苹果应用商店下载量前三名。

据日本电视台NTV报道，在日本，十分之一的移动互联网用户使用或下载TikTok。

根据巴黎报纸，38%的法国青少年有TikTok账户。

在印度，2亿智能手机用户是TikTok用户。

它在青少年中的发展势头已经超过了Facebook、Instagram等社交媒体。

就连Facebook创始人扎克伯格也在内部会议上承认，TikTok是中国科技巨头在世界上第一个出色的消费互联网产品。

就规模而言，我认为TikTok已经超过了印度的Instagram

PG One李小璐视频泄露事件

没想到，这次美国媒体曝光的漏洞事件，可能回答了PG One的“抖声问题”，也可能给他一个当时“刻意炒作”的清白。

2019年10月底，李小璐和PGone同帧的三个视频突然流出，一石激起千层浪。

而从视频形式、玩法等特点来看，很快就被指向了颤音平台。

之前PG One曾试图东山再起，所以视频出来后，很多吃瓜的网友认为是“刻意炒作”，借机东山再起。

但很快，PG One就回应了这篇长文，一方面解释为什么会有这么一个有《荀子》李小璐的恩爱视频，并明确表示视频不活跃并提问:

为什么去年用颤音拍的视频发布时没有任何谣言？

PG One的粉丝也支持这一点:说唱歌手都是真的，不是就是不是，视频也没有平台logo。

后来有网友爆料，说视频是颤音工作人员通过颤音后台从PGone的选秀箱下载的。

但颤音马上回应:草稿视频不会上传到后台。并表示将进一步调查。

当时有眼尖的网友注意到，在颤音APP的“隐私政策”中，有这样一条规定:当你发布音视频时，我们可能会在点击“发布”确认上传之前，暂时将音视频加载到服务器上。

总之，一个傻子的账号，一个隐私纠纷类，和大多数娱乐热点一样，很快就被遗忘了。

颤音官方后续没有进一步公开解释。

TikTok应对脆弱性

漏洞暴露后，海外版颤音也发布了公开回应。英文版和中文版的全文如下:

卢克·德索特尔斯，TikTok安全团队博士:“TikTok致力于保护用户数据。像许多组织一样，我们鼓励负责任的安全研究人员私下向我们披露零日漏洞。在公开披露之前，CheckPoint同意所有报告的问题都在我们应用程序的最新版本中进行了修补。我们希望这一成功的决议将鼓励未来与安全研究人员的合作。”

TikTok安全团队的Luke Deshotels博士说:“不久前，网络安全公司CheckPoint的研究团队向我们提交了他们发现的TikTok漏洞，我们已经修复了TikTok最新版本的应用程序中的相关漏洞。我们感谢鼓励更多的白帽团队以非公开的方式为我们提供线索，帮助我们发现和修复漏洞，保护用户的网络安全。"

至于国内版颤音是否有类似漏洞，目前还没有公开说明，但如果有颤音朋友的顾虑，可以及时更新最新版本。