欧美成人一区二区三区,色x老板影院在线观看香蕉

魚和羊來自奧菲寺

量子報(bào)告| QbitAI，微信官方賬號

顫音的海外版TikTok，因?yàn)橐粋€(gè)漏洞，今天再次成為熱門話題。

這個(gè)安全漏洞通常很簡單:根據(jù)TikTok的基礎(chǔ)設(shè)施設(shè)計(jì)，黑客可以有機(jī)會向用戶發(fā)送惡意鏈接，然后“為所欲為”

也就是說，在海外版顫音的“家”里，門鎖有問題，攻擊者開門進(jìn)去——可以泄露草稿框視頻，進(jìn)一步竊取賬號支付信息，甚至進(jìn)一步接管用戶賬號。

發(fā)現(xiàn)漏洞的研究員說:考慮到TikTok全球有15億用戶，被別有用心的人盯上就麻煩了。

那么是什么樣的漏洞呢？

漏洞的發(fā)現(xiàn)者是世界知名的以色列網(wǎng)絡(luò)安全公司:Check Point。

IT總部位于特拉維夫，提供IT安全軟硬件服務(wù)，被公認(rèn)為全球領(lǐng)先的互聯(lián)網(wǎng)安全解決方案提供商。

這種權(quán)威性也使得這次暴露的TikTok安全漏洞備受關(guān)注。

在研究和攻防中，Check Point發(fā)現(xiàn)TikTok的基礎(chǔ)設(shè)施設(shè)計(jì)，海外版的顫音，給了黑客向TikTok用戶發(fā)送帶有惡意鏈接的消息的機(jī)會。

通過此漏洞，黑客可以操縱用戶數(shù)據(jù)并竊取個(gè)人隱私數(shù)據(jù)。

具體來說，由于用戶在注冊TikTok時(shí)必須提供手機(jī)號碼，黑客可以訪問這些代碼。因此，他們可以偽裝成“TikTok”，向用戶發(fā)送消息，從而接管對受害者賬戶的控制。

一旦攻擊成功，黑客幾乎可以為所欲為:刪除視頻、上傳視頻、泄露私人視頻

未經(jīng)用戶許可，強(qiáng)行將TikTok用戶帶到黑客控制的網(wǎng)絡(luò)服務(wù)器，執(zhí)行操作請求

將用戶重定向到偽裝成TikTok的惡意網(wǎng)站

發(fā)現(xiàn)漏洞的安全人員還解釋說，由于缺乏反跨站點(diǎn)請求偽造機(jī)制，攻擊者可以在未經(jīng)受害者同意的情況下代替受害者執(zhí)行JavaScript代碼。

此外，一旦攻擊者獲得對用戶賬戶的部分控制權(quán)，他就可以通過API調(diào)用獲得用戶的私人信息，包括姓名、電子郵件地址、支付信息和生日。

Check Point的產(chǎn)品漏洞研究主管Odd vanunu表示，TikTok在全球擁有近15億用戶，由于數(shù)據(jù)量巨大，該產(chǎn)品已成為黑客的主要目標(biāo)。

此外，由于像TikTok這樣的應(yīng)用程序可以在多個(gè)平臺上使用，惡意攻擊很容易迅速升級。

從這個(gè)解釋中，也暗示了“漏洞”并不僅限于——TikTok，顫音的海外版。畢竟“用戶數(shù)15億”，所以國產(chǎn)版可能要算進(jìn)去。

字節(jié)跳動回應(yīng)道:漏洞已經(jīng)修復(fù)

但是這個(gè)漏洞涉及到國內(nèi)版顫音嗎？我還不知道。

字節(jié)跳動當(dāng)局沒有對此進(jìn)行解釋或說明。

但及時(shí)發(fā)現(xiàn)了漏洞，并于2019年11月提交，當(dāng)時(shí)Check Point根據(jù)江湖規(guī)則向字節(jié)跳動報(bào)告了該漏洞。

然后，12月15日，字節(jié)跳動回復(fù):漏洞問題已經(jīng)解決——以TikTok的名義。

但由于太平洋兩岸的局勢，以及美國對中國公司擁有的產(chǎn)品隱私和安全的擔(dān)憂，這個(gè)漏洞已經(jīng)不是安全漏洞那么簡單了。

最近，TikTok因?yàn)楸幻绹姺浇苟鹆岁P(guān)注。

現(xiàn)在，“安全漏洞”無異于火上澆油。

《紐約時(shí)報(bào)》評論稱，美軍禁止士兵使用顫音后，Check Point發(fā)現(xiàn)的漏洞可能會讓這些問題更加復(fù)雜。

數(shù)字趨勢還表示，TikTok正在吸引美國立法者的注意力，這種隱私漏洞將進(jìn)一步加劇這些擔(dān)憂。

《紐約時(shí)報(bào)》也指出，由于顫音的用戶主要是年輕人，他們可能不會那么在意安全更新，這也給黑客帶來了機(jī)會。

雖然有點(diǎn)針對性，但海外版顫音也是“要戴皇冠，就得承受它的重量”。

顫音在海外有多火？

在2017年以10億美元收購了短視頻《音樂應(yīng)用程序》后，字節(jié)跳動將這個(gè)擁有2.4億注冊用戶的應(yīng)用程序與顫音的國際版本TikTok合并，并將其推向國際市場。

此后，中國最受歡迎的短視頻App顫音也在海外市場實(shí)現(xiàn)了病毒式擴(kuò)張，成為包括美國、日本、法國和印度在內(nèi)的許多國家下載量最大的社交軟件，在全球擁有近15億用戶。

在美國，TikTok的下載量超過1.1億次，并多次進(jìn)入美國蘋果應(yīng)用商店下載量前三名。

據(jù)日本電視臺NTV報(bào)道，在日本，十分之一的移動互聯(lián)網(wǎng)用戶使用或下載TikTok。

根據(jù)巴黎報(bào)紙，38%的法國青少年有TikTok賬戶。

在印度，2億智能手機(jī)用戶是TikTok用戶。

它在青少年中的發(fā)展勢頭已經(jīng)超過了Facebook、Instagram等社交媒體。

就連Facebook創(chuàng)始人扎克伯格也在內(nèi)部會議上承認(rèn)，TikTok是中國科技巨頭在世界上第一個(gè)出色的消費(fèi)互聯(lián)網(wǎng)產(chǎn)品。

就規(guī)模而言，我認(rèn)為TikTok已經(jīng)超過了印度的Instagram

PG One李小璐視頻泄露事件

沒想到，這次美國媒體曝光的漏洞事件，可能回答了PG One的“抖聲問題”，也可能給他一個(gè)當(dāng)時(shí)“刻意炒作”的清白。

2019年10月底，李小璐和PGone同幀的三個(gè)視頻突然流出，一石激起千層浪。

而從視頻形式、玩法等特點(diǎn)來看，很快就被指向了顫音平臺。

之前PG One曾試圖東山再起，所以視頻出來后，很多吃瓜的網(wǎng)友認(rèn)為是“刻意炒作”，借機(jī)東山再起。

但很快，PG One就回應(yīng)了這篇長文，一方面解釋為什么會有這么一個(gè)有《荀子》李小璐的恩愛視頻，并明確表示視頻不活躍并提問:

為什么去年用顫音拍的視頻發(fā)布時(shí)沒有任何謠言？

PG One的粉絲也支持這一點(diǎn):說唱歌手都是真的，不是就是不是，視頻也沒有平臺logo。

后來有網(wǎng)友爆料，說視頻是顫音工作人員通過顫音后臺從PGone的選秀箱下載的。

但顫音馬上回應(yīng):草稿視頻不會上傳到后臺。并表示將進(jìn)一步調(diào)查。

當(dāng)時(shí)有眼尖的網(wǎng)友注意到，在顫音APP的“隱私政策”中，有這樣一條規(guī)定:當(dāng)你發(fā)布音視頻時(shí)，我們可能會在點(diǎn)擊“發(fā)布”確認(rèn)上傳之前，暫時(shí)將音視頻加載到服務(wù)器上。

總之，一個(gè)傻子的賬號，一個(gè)隱私糾紛類，和大多數(shù)娛樂熱點(diǎn)一樣，很快就被遺忘了。

顫音官方后續(xù)沒有進(jìn)一步公開解釋。

TikTok應(yīng)對脆弱性

漏洞暴露后，海外版顫音也發(fā)布了公開回應(yīng)。英文版和中文版的全文如下:

盧克·德索特爾斯，TikTok安全團(tuán)隊(duì)博士:“TikTok致力于保護(hù)用戶數(shù)據(jù)。像許多組織一樣，我們鼓勵負(fù)責(zé)任的安全研究人員私下向我們披露零日漏洞。在公開披露之前，CheckPoint同意所有報(bào)告的問題都在我們應(yīng)用程序的最新版本中進(jìn)行了修補(bǔ)。我們希望這一成功的決議將鼓勵未來與安全研究人員的合作。”

TikTok安全團(tuán)隊(duì)的Luke Deshotels博士說:“不久前，網(wǎng)絡(luò)安全公司CheckPoint的研究團(tuán)隊(duì)向我們提交了他們發(fā)現(xiàn)的TikTok漏洞，我們已經(jīng)修復(fù)了TikTok最新版本的應(yīng)用程序中的相關(guān)漏洞。我們感謝鼓勵更多的白帽團(tuán)隊(duì)以非公開的方式為我們提供線索，幫助我們發(fā)現(xiàn)和修復(fù)漏洞，保護(hù)用戶的網(wǎng)絡(luò)安全。"

至于國內(nèi)版顫音是否有類似漏洞，目前還沒有公開說明，但如果有顫音朋友的顧慮，可以及時(shí)更新最新版本。