logo
繁体
繁体

TikTok被曝存在安全漏洞,黑客可通过服务器访问用户数据

彭博社报道,TikTok是全球下载量最大的应用程序之一,由于它保护着超过10亿用户的个人信息,其数据安全受到越来越多的审查。

Photo by Solen Feyissa on Unsplash

周一,几位网络安全分析师在推特上说发现了据称是一个不安全的服务器漏洞,这个服务器被允许访问TikTok的存储空间,而他们认为其中包含个人用户数据。就在几天前,微软公司表示,它在TikTok的安卓应用程序中发现了一个“严重隐患”,称“这将使攻击者只需单击一下即可破坏用户的帐户”。

一年前,字节跳动旗下的TikTok月用户数已超过10亿,如今已成为许多年轻人最喜欢的应用。这使其成为可能试图劫持热门帐户或转售敏感信息的黑客的诱人目标。由于担心其位于北京的母公司与中国政府之间的潜在联系,TikTok在2020年被特朗普政府认定构成隐私威胁,几乎遭禁。

TikTok表示,关于周末发现的漏洞一说是不实传闻。一位TikTok发言人说:“我们的安全团队对这一声明进行了调查,并确定被质疑的代码与TikTok后端源代码完全无关。”

一位澳大利亚的网络安全顾问特洛伊·亨特(Troy Hunt)检查了泄露文件中列出的一些数据样本,发现用户个人资料和以这些ID发布的视频之间存在匹配。但泄漏信息中包含的一些细节是“可公开访问的数据,在没有漏洞存在的情况下也能被建立”。

他发推称:“到目前为止,还不能下定论;一些数据与生产信息相匹配,尽管是可公开访问的信息。有些数据是垃圾信息,但它可能是非生产数据或测试数据。到目前为止,情况有点复杂。”

微软确定的漏洞影响范围较窄,可能会影响安卓手机的运行。Microsoft 365 Defender研究团队的迪米特里欧·瓦尔萨马拉斯(Dimitrios Valsamaras)写道,它可能允许攻击者访问和修改“TikTok个人资料和敏感信息,例如公开私人视频、发送消息和上传视频”。

TikTok的一位发言人表示,公司对微软的调查结果做出了迅速反应,并修复了“在某些旧版本的安卓应用中”发现的安全漏洞。

无论问题多么不确定或多么小,当前美国可能加强对与中国政府有关的企业的监管措施,TikTok及其母公司将受到高度关注。6月,九名美国参议员向TikTok的首席执行官写了一封公开信,要求他解释所谓的安全漏洞。

预计拜登总统将签署一项行政命令,限制美国对中国科技公司的投资,并有可能针对TikTok采取单独行动,美国政府将密切关注中国政府是否可以访问美国用户数据。TikTok已告诉美国立法者,它已通过与甲骨文公司(Oracle)签订合同,采取措施保护用户数据。

澳美网络安全公司Internet 2.0的联合首席执行官罗伯特·波特(Robert Potte)表示:“TikTok的运作方式受到了很多关注,它的运作方式与它所说的之间存在很大差距。”

今年7月,波特的团队在一份报告中表示,他们发现TikTok在用户设备上进行了“过度数据收集”,应用程序至少每小时检查一次设备位置,并且它的代码可以收集设备和SIM卡的序列号。

这份报告在澳大利亚受到广泛关注,新任内政部长克莱尔·奥尼尔(Clare O’Neil)周一宣布,她已下令其部门调查TikTok获取了哪些数据以及谁可以访问这些数据。

奥尼尔在电子邮件中说:“科技公司总部设在对私营部门采取更加专制做法的国家时,我们就会遇到这种基本问题。TikTok不是这个问题的开始和结束,而是大型科技公司以及它们在我们生活中所扮演的角色所引发的大量问题之一。”