全球热门应用TikTok极易泄露个人信息，用户地址和电子邮箱等均未幸免

　　2020年1月9日-全球领先的网络安全解决方案提供商CheckPoint?软件技术有限公司（纳斯达克股票代码：CHKP）威胁情报部门CheckPointResearch今天透露，他们在TikTok（抖音国际版）中发现多个漏洞，这些漏洞允许攻击者操纵用户帐户的内容，甚至提取保存在这些帐户上的个人机密信息。

　　TikTok的用户群体主要是青少年和儿童，他们使用TikTok分享和保存自己及亲人的私人视频（视频内容有时非常敏感）。研究发现，攻击者可以向用户发送一条包含恶意链接的伪造短信。一旦用户点击这条恶意链接，攻击者便能够控制其TikTok帐户并实施各种恶意操作，比如删除视频、上传未经授权的视频以及将私人或“隐藏”视频公开等。

　　研究还发现，Tiktok的子域https://ads.yuhou.cn很容易受到XSS攻击，这种攻击是通过将恶意脚本注入到原本安全可信的网站中实施的。CheckPoint研究人员利用这一漏洞检索到了用户帐户中保存的个人信息，包括个人电子邮件地址和生日。

　　CheckPointResearch向TikTok开发人员披露了这项研究发现的漏洞，后者已负责任地部署了补丁，以确保其用户可以继续安全地使用TikTok。

　　CheckPoint产品漏洞研究主管OdedVanunu表示：“数据无处不在，数据泄露频频发生，我们的最新研究表明，一些最受欢迎的应用也在劫难逃。”社交媒体应用极易遭到漏洞攻击，因为它们拥有大量的私人数据以及较大的攻击面。攻击者正在花大成本、下大功夫向这些体量庞大的应用发起攻击。然而，大多数用户还认为自己使用的应用非常安全。”

　　TikTok安全团队LukeDeshotels博士表示：“TikTok高度重视用户数据安全。同许多企业一样，我们鼓励负责任的安全研究人员向我们秘密披露零日漏洞。在公开漏洞之前，CheckPoint已确认所有报告的问题都已在最新版TikTok中进行了修复。希望此次风险的成功化解能够促进未来更多类似安全合作。”

　　TikTok覆盖全球150多个国家和地区，提供75种语言，用户数量超过10亿。毫无疑问，TikTok是下载次数最多的应用之一。截至2019年10月，TikTok登顶美国应用下载量排行榜，成为首个创造这一记录的中国应用。

　　有关这项研究的更多信息，请查看CheckPointResearch博客。