行业新闻与博客

TikTok 被迫修补了一些关键漏洞，这些漏洞可能使黑客能够劫持用户帐户并窃取个人数据。

Check Point 研究人员发现了广受欢迎的社交媒体平台中的缺陷，其中包括一个 SMS 链接欺骗错误，该错误影响了 TikTok 主站点上的一项功能，该功能允许用户向手机发送消息以下载该应用程序。

这可能会使攻击者能够找到受害者的电话号码，向他们发送自定义的恶意链接，从而使他们能够接管帐户并删除视频，发布内容并公开私有视频。

Check Point 还在 TikTok 主站点的广告子域中发现了跨站点脚本（XSS）漏洞；特别是在帮助中心部分 该公司警告说，这可能使攻击者向网站注入恶意 JavaScript 来收集个人用户帐户信息。

它在博客文章中补充说，由于缺乏跨站点请求伪造机制，这些错误被放大。

Check Point 产品漏洞研究负责人 Oded Vanunu 解释说：“社交媒体应用程序非常容易受到漏洞的攻击，因为它们为私人数据提供了良好的来源，并提供了良好的攻击面。”

恶意行为者正在花费大量金钱，并付出巨大的努力来渗透到如此庞大的应用程序中。然而，大多数用户都认为自己受到所用应用程序的保护。”

TikTok 修复了其最新版本应用程序中的错误，尽管由于该公司在中国的所有权，对该公司的安全性担忧仍然存在。

总部位于北京的 ByteDance 于 2017年从美国公司 Music.ly 购买了该应用程序，但鉴于该应用程序在美国的受欢迎程度，立法者对该购买行为越来越感到不安。

报告表明，美国陆军和海军都禁止军人和妇女在政府发行的设备上使用该应用程序。

同时，越来越强大的美国外国投资委员会（CFIUS）已  开始调查  TikTok 收集的用户数据是否构成国家安全风险。 

本文由机器译制：https://www.infosecurity-magazine.com/news/tiktok-patches-critical-account/