海外版抖音TikTok发现漏洞,主要是因为未使用SSL证书

  • 作者:zccc
  • 来源:网络
  • 2020-04-21 17:31:46

4月14日,iOS开发者汤米·米斯克(Tommy Mysk)、塔拉·哈吉·巴克瑞(Talal Haj Bakry)发现抖音海外版(TikTokAPP)存在一个漏洞,不法分子可以利用这个漏洞轻松获得用户隐私,可以获得用户...

4月14日,iOS开发者汤米·米斯克(Tommy Mysk)、塔拉·哈吉·巴克瑞(Talal Haj Bakry)发现抖音海外版(TikTokAPP)存在一个漏洞,不法分子可以利用这个漏洞轻松获得用户隐私,可以获得用户的观看记录,甚至可以将视频发到个人账户。

这是怎么样一个漏洞呢?

这个漏洞也不是有多难,只要TikTok使用SSL安全证书来实现HTTPS分发就可以进行修复了,不知道抖音的攻城狮们是不是偷懒了呢(攻城狮可能会说,这锅我不背)。

我们来细说下这个漏洞,TikTok APP使用不安全的HTTP协议来传输或下载视频内容,和其他一些媒体软件一样,TikTok依赖于CDN(内容分发网络),按地理位置分享海量数据。TikTok的CDN是通过HTTP传输视频和其他媒体数据的。

虽然这能够一定程度上改善数据的传输性能,但是却为不法分子开了一扇门,不法分子可以利用HTTP流量追踪用户,甚至篡改已发布的内容。一些黑客甚至可以把视频发到用户的个人账户。

国外的一篇博文中解释道,抖音海外版存在这一漏洞的原因是,它利用未加密的 HTTP 从内容分发网络下载内容。这种方法虽然有助于提升性能,但不如使用 HTTPS 安全。

"TikTok 应用程序和 TikTok 内容分发网络之间的路由器可以轻松列出用户下载并观看的所有视频……公共 Wifi 运营商,Internet 服务提供商和情报机构可以毫不费力地收集这些数据。"Mysk 和 Bakry 写道。

在演示中,两名开发者利用虚假的新冠肺炎视频取代了世界卫生组织的视频。此外他们还成功地使用相同的流程在其他经 TikTok 验证的帐户上上传了虚假内容,例如红十字会视频平台的官方资料。在最后,米斯克呼吁抖音海外版遵守数据隐私和保护方面的业界标准。

国外开发人员使用Wireshark进行TikTok APP的流量捕获和分析

是不是有点可怕呢?在恶意攻击者眼里,你的账户可能就是在“裸奔”,没有一丝丝的隐私可言。

中国企业“出海”对中国企业在国外的影响上自然是向好的,但是国外比较注重隐私安全,安全是一把双刃剑,也希望抖音方面尽快修复漏洞,扩张时也请注意好安全问题。

其实TikTok在海外的发展就并非一帆风顺,上个月,两名美国参议员引入新的一项法案,要求禁止联邦政府所有雇员在政府配发的设备上使用抖音海外版TikTok。

海外版抖音TikTok作为字节跳动在海外的开路先锋,身上背负的重担自然不言而喻,扩张用户我们能够理解,但是也请做好用户安全的基础防护,为中国企业树立良好形象。

我们也不能否认抖音为我们带来的更多乐趣,也许抖音及其母公司更应该放缓脚步,在用户安全方面下更多的功夫,更好的完善自己,我们也希望真正回到记录美好生活。

我们再来说回HTTPS为什么越来越受到追捧?

小编我认为这是人类对个人隐私重视的一个缩影,并且随着国内外隐私法案的完善,这在一定程度上极大的推动了人们更加重视隐私安全。

国内外一些大公司对使用HTTPS进行数据传输的要求:

苹果公司在IOS9中引入APP传输协议,要求所有HTTP转为使用加密的HTTPS,需要符合ATS标准

谷歌公司在改变了Andrioid Pie中的网络安全默认设置,屏蔽所有HTTP的明文流量

腾讯公司强制规定微信小程序必须使用SSL证书来实现HTTPS协议传输

支付宝也在自己小程序中要求开发者必须使用HTTPS协议进行传输

实现HTTPS目前的办法就是申请SSL安全证书,通过服务器安装SSL证书来保护数据的传输安全。不管是DV、OV、EV类SSL证书都能起到这样一个保护作用,如果你想要更加高级的防护,当然我们推荐您使用OV和EV类的SSL安全证书。

爱名网SSL安全证书目前支持国内外七大品牌,更可能的满足客户各方面需求,我们的官网是:https://ssl.22.cn

  • 相关专题

免责声明:本文内容由互联网用户自发贡献自行上传,本网站不拥有所有权,也不承认相关法律责任。如果您发现本社区中有涉嫌抄袭的内容,请发送邮件至:operations@xinnet.com进行举报,并提供相关证据,一经查实,本站将立刻删除涉嫌侵权内容。

相关文章

免费咨询获取折扣