研究人员演示了如何通过发送短信入侵TikTok账户

提克托克是2019年下载量第三大的应用程序，目前正在对用户隐私进行严格审查，审查政治上有争议的内容，并以国家安全为由#8212；但它还没有结束，因为数十亿TikTok用户的安全性现在会受到质疑。

著名的中国病毒性视频共享应用包含潜在的危险漏洞，远程攻击者只需知道目标受害者的手机号码，就可以劫持任何用户帐户。

在与《黑客新闻》私下分享的一份报告中，Check Point的网络安全研究人员透露，链接多个漏洞可以让他们在未经受害者同意的情况下远程执行恶意代码并代表受害者执行不必要的操作。

报告的漏洞包括严重程度较低的问题，如短信链接欺骗、开放重定向和跨站点脚本（XSS），当这些问题结合在一起时，远程攻击者可能会执行高影响攻击，包括：

• 从受害者的TikTok档案中删除任何视频，
• 将未经授权的视频上传到受害者的TikTok档案，
• 公开私人“隐藏”视频，
• 泄露保存在账户上的个人信息，如私人地址和电子邮件。

该攻击利用TikTok网站上提供的不安全短信系统，让用户向自己的电话号码发送信息，并通过链接下载视频共享应用程序。


研究人员称，攻击者可以通过修改后的下载URL，将短信发送到TikTok的任何电话号码，发送到恶意页面，该页面旨在通过已安装的TikTok应用程序在目标设备上执行代码。



当与开放重定向和跨站点脚本问题相结合时，黑客一旦单击TikTok服务器通过短信发送的链接，就可以代表受害者执行JavaScript代码，如与黑客新闻共享的视频演示检查点所示。

这种技术通常被称为跨站点请求伪造攻击，攻击者诱骗经过身份验证的用户执行不需要的操作。

研究人员在今天发表的一篇博文中说：“由于缺乏反跨网站请求伪造机制，我们意识到我们可以在没有受害者同意的情况下执行JavaScript代码并代表受害者执行操作。”。

“将用户重定向到恶意网站将执行JavaScript代码，并使用受害者的cookie向Tiktok发出请求。”

Check Point于2019年11月底负责地向TikTok的开发者ByteDance报告了这些漏洞，ByteDance随后在一个月内发布了其移动应用程序的补丁版本，以保护其用户免受黑客攻击。

如果您没有运行Android和iOS官方应用商店提供的最新版本TikTok，建议您尽快更新。