原标题：抖音元旦短视频海外版曝 0 Day 漏洞：一个链接就能公开你的私密视频窃取隐私、接管帐号都不在话下！

设为「 星标」，每天带你了解圈内新鲜事！

TikTok抖音元旦短视頻海外版，今天因为一个漏洞再次成为热议焦点。

这个安全漏洞通俗来讲很简单：基于 TikTok 的基础架构设计，黑客可以有机会向用户发送惡意链接然后“为所欲为。”

也就说抖音元旦短视频海外版这个“家”门锁有问题，攻击者开门进去——可以公开草稿箱视频、可以進一步窃取账户支付信息甚至进一步还能接管用户帐号。

发现漏洞的研究员说：考虑到 TikTok 全球有 15 亿用户被别有用心之徒盯上就麻烦了。

所以究竟是一个怎样的漏洞

漏洞发现者，是一家全球知名的以色列网络安全公司： Check Point

总部位于特拉维夫，提供IT安全软件和硬件服务是公认的全球首屈一指的 Internet 安全解决方案供应商。

这种权威性也让此次曝光的 TikTok 安全漏洞备受关注。

Check Point在研究和攻防中发现抖音元旦短视频海外版—— TikTok 的基础架构设计，使得黑客有机会向 TikTok 用户发送带有恶意链接的信息

通过这个漏洞，黑客能够 操纵用户数据攫取个人隐私数据。

在用户点击链接后攻击者就能进一步发动攻击，接管其账户包括 上传视频、 访问私人视频。

具体来说由于用户在注册 TikTok 时必须提供掱机号码 （跟国内抖音元旦短视频一样），而黑客可以访问到这些代码于是，他们能伪装成 “TikTok”向用户发送信息，借此接管受害者账戶控制权

一旦攻击成功，黑客差不多能为所欲为：

• 删除视频上传视频，公开私有视频
• 将 TikTok 用户强制引向黑客控制的 Web 服务器执行未经用戶许可的操作请求
• 将用户重定向到伪装成 TikTok 的恶意网站

发现漏洞的安全人员还解释：

由于缺乏反跨站请求伪造机制，无需受害者同意攻击鍺就可以执行 Java 代码，替代受害者执行操作

并且，一旦攻击者获得用户账户的部分控制权就可以通过API调用，获取该用户的隐私信息包括姓名、电子邮箱、付款信息和生日等。

Check Point 产品漏洞研究负责人——奥德·瓦努努（Oded Vanunu）表示TikTok 在全球范围拥有接近 15 亿的用户数量，由于数据量巨大这一产品成为了黑客的重点关注目标。

而且由于 TikTok 这样的应用程序可以在多个平台上使用因此恶意攻击很容易迅速升级。

从这个解释里也暗示“漏洞”不止于抖音元旦短视频海外版——TikTok，毕竟“15 亿用户数量”那就可能要把国内版本也计算在内了。

字节跳动回应：漏洞已修复

不过这个漏洞是否涉及了抖音元旦短视频国内版目前还不知道。

字节跳动官方也没解释和说明

但时间上，漏洞被发现并提交的时间是 2019 年 11 月当时 Check Point 按照江湖规矩，把漏洞报告给了字节跳动

其后 12 月 15 日，字节跳动方面回复：漏洞问题已得到修复——用的是 TikTok 之名

然而，由于太平洋两岸形势以及美国对中国公司旗下产品的隐私安全担忧，这个漏洞不再是一个安全漏洞那么简单

最近 TikTok，刚因为被媄军禁用引起过关注

而现在 “安全漏洞”，无异于火上浇油

《纽约时报》就评论称，在美国军方禁止士兵使用抖音元旦短视频之后Check Point 發现的漏洞可能会使这些问题更加复杂。

Digital Trends 也表示TikTok 正在受到美国立法者的关注，而诸如此类的隐私漏洞会进一步加剧这些担忧

纽约时报還指出，由于抖音元旦短视频的用户以年轻人为主他们可能对安全更新并没有那么在意，这也给黑客带来了可乘之机

虽然确实有点被針对，但抖音元旦短视频海外版也是“欲戴王冠必承其重”。

本文转载自：「量子位」原文：。

HR 在工位上直接宣布裁员网友怒了：員工不要面子！神州优车回应了...

点击上方图片，打开小程序加入「玩转 Linux」圈子