新時代高科技不計其數越來越發達，小伙伴們看過不少科技新聞吧，在我們生活中應該也用到很多這些高科技東西，有哪些小伙伴值的關注的呢，今天就跟大家分享一篇有關科技方面知識，希望大家會喜歡。

全球最受歡迎的移動應用程序之一存在多個漏洞，這些漏洞可能使攻擊者得以操縱用戶賬戶，暴露包括姓名、電子郵件地址和出生日期在內的個人數據。

檢查點的研究人員發現，視頻分享和社交網絡應用TikTok的安全漏洞可能會使其用戶的隱私處于危險之中。全球超過10億安卓和iPhone用戶下載了TikTok。

雖然研究人員不能確定這些安全漏洞是否被利用了，但Check Point已經與TikTok合作來修復這些漏洞，并確保它們現在不會被黑客利用。

參見:IT pro關于5G技術的發展和影響的指南(免費PDF)

研究人員發現的第一個漏洞是TikTok應用程序的短信功能。為了幫助用戶安裝該應用程序，該網站允許用戶向自己發送一條帶有下載鏈接的短信。然而，人們發現攻擊者可以利用這一點進行惡意攻擊。

這種攻擊要求攻擊者知道目標受害者的電話號碼;這可能是通過已經以某種方式連接到他們，通過社會工程或網絡釣魚，或從被盜或公開的號碼列表中獲取。這次攻擊是匿名的，沒有透露攻擊者的身份。

通過編輯下載url參數，攻擊者可以發送一個欺騙的SMS消息，其中包含攻擊者擁有的惡意鏈接。

然而，這并不是研究人員發現的唯一漏洞，他們發現TikTok官方網站的TikTok Ads子域容易受到跨站點腳本攻擊(XSS)，允許攻擊者注入惡意腳本，通過可信域攻擊用戶。

研究人員發現，在使用TikTok廣告幫助中心的搜索功能時，可以通過在搜索結果的地址中輸入代碼來操縱這個域。

通過結合這些，攻擊者就有可能操縱受害者的TikTok賬戶。他們可以刪除視頻，可以將私人視頻公開或發布自己的視頻。

然而，賬戶操縱并不是這些漏洞的唯一潛在風險，因為研究人員發現，可以將SMS和XSS漏洞結合起來，檢索不供公眾使用的敏感信息，包括他們的姓名、電子郵件地址和出生日期。

“社交媒體應用程序極易受到攻擊，因為它們提供了良好的個人、私人數據來源，并提供了一個巨大的攻擊面。惡意行為者花費大量金錢和時間試圖滲透這些非常受歡迎的應用程序——然而大多數用戶都認為他們受到了他們正在使用的應用程序的保護，”Check Point的產品漏洞研究負責人Oded Vanunu說。

然而，在去年末發現這些漏洞后，Check Point向TikTok的中國母公司字節跳動(ByteDance)披露了這些漏洞。字節跳動工作迅速，并部署了更新來修補安全漏洞。

參見:網絡安全制勝戰略(ZDNet特別報道)

TikTok向ZDNet證實，他們已經與Check Point合作解決了這個問題。

TikTok致力于保護用戶數據。與許多組織一樣，我們鼓勵負責任的安全研究人員私下向我們披露零日漏洞。

他補充說:“在公開披露之前，檢查點同意所有報告的問題都在我們的應用程序的最新版本中打了補丁。我們希望這個成功的解決方案將鼓勵未來與安全研究人員的合作。”

為了防止成為利用研究人員發現的漏洞進行攻擊的受害者，用戶應該將他們的TikTok應用程序更新到最新版本(如果他們還沒有這樣做的話)。