恶意攻击者最近入侵了大公司和名人的高知名度 TikTok 帐户,并利用了 TikTok 直接消息传递功能中的零日漏洞。此 TikTok 零日漏洞使黑客能够控制帐户,而无需受害者下载任何内容或点击任何链接。
对于那些不知道零日漏洞的人来说,零日漏洞是软件制造商自己都不知道的一个安全漏洞。它之所以成为黑客的主要目标,是因为没有补丁或关于该漏洞的公开信息。
TikTok 零日漏洞已影响并劫持了 CNN、索尼和帕丽斯·希尔顿的账户。
据Semaphor报道,CNN 的账号是上周第一个被入侵的账号。随后,索尼和帕丽斯·希尔顿的账号也遭遇了类似的网络攻击。为了防止进一步的滥用,TikTok 将这些账号下线。
TikTok 零日漏洞是如何发生的?
据最先报道该事件的《福布斯》报道,黑客只需打开一条恶意直接消息即可入侵账户。据悉,无需下载任何文件或点击任何链接,因此攻击很容易实施,难以被发现。
TikTok 安全团队负责人 Alex Haurek 向《福布斯》表示:“我们的安全团队意识到存在针对多个品牌和名人账户的潜在攻击。我们已采取措施阻止此次攻击并防止其再次发生。我们正在与受影响的账户所有者直接合作,以在必要时恢复访问权限。”
TikTok 还通知称,只有少数账户遭到入侵,但在彻底修复漏洞之前,它没有给出具体数字或详细说明漏洞情况。
先前的安全问题
这并不是 TikTok 第一次面临安全问题。2022 年 8 月,微软发现 TikTok 的 Android 应用程序存在一个漏洞,黑客只需轻轻一点即可接管账户。TikTok 还修复了其他安全漏洞,这些漏洞可让攻击者窃取私人用户信息、绕过隐私保护并操纵用户视频。
另一个例子是,苹果发布了一个软件更新来修复 WebKit 中的一个漏洞,该漏洞运行 Safari 和其他网络应用。这个漏洞可能允许恶意代码在受影响的设备上运行。苹果迅速在其所有设备上修复了这个问题,包括 iPhone、iPad、Mac 和 Apple TV。
2023 年年中,TikTok 因多项违反数据保护法的行为被信息专员办公室 (ICO) 罚款 1270 万英镑。其中包括 2020 年允许超过一百万名 13 岁以下儿童在未经父母同意的情况下使用其平台,这违反了其自身的服务条款。
ICO 的调查发现,尽管 TikTok 规定用户必须年满 13 岁,但它却允许约 140 万名 13 岁以下的英国儿童创建账户并使用其平台。
这导致在未经儿童父母或监护人适当同意或授权的情况下对儿童数据进行非法处理,而这是英国数据保护法对向 13 岁以下儿童提供信息社会服务的组织的一项要求。
此外,TikTok 未能以清晰易懂的方式向用户(尤其是儿童)提供足够的信息,说明他们的数据是如何被收集、使用和共享的。
缺乏透明度导致用户难以就是否使用该平台做出明智的选择。
发表评论