【無可避免】TikTok再現零日漏洞 一個私訊可搶奪帳戶控制權
影像分享平台 TikTok 被發現存在嚴重的零日漏洞,黑客只須向目標帳戶發出一個惡意私訊,對方只要閱讀訊息都會中招。漏洞更導致多間機構被黑客入侵,當中包括 Sony、CNN 等,由於現階段未有解救方法,高風險帳戶只能停用或刪除帳戶,等待官方修復問題……
是次連環入侵帳戶事件發生於上星期,最先被黑客入侵的 TikTok 帳戶屬於 CNN 新聞網站,起初外界還懷疑是因為 CNN 有太多職員擁有管理帳戶權限,因而估計是其中一個職員的帳戶被入侵,從而引發這次事件,但經調查後才發現入侵並非來自內部帳戶,而是黑客通過 TikTok 一個零日漏洞而成功取得帳戶控制權。
有網絡安全專家表示,這次漏洞的嚴重性非常高,因為黑客只須向目標帳戶發送一個含有惡意功能的私訊,過程中完全毋須對方點擊訊息內的惡意連結或安裝惡意檔案,便能取得帳戶控制權,令用家難以阻止黑客入侵。
TikTok 方面已承認這個漏洞的存在,表示已採取適當措施阻止事件再次發生,並會協助受影響用家取回帳戶控制權,但至於採用的方法就未有詳情透露。另一方面,官方表示根據初步分析,攻擊者只入侵了少量知名帳戶,但詳細數字亦有待調查。
雖然香港不在 TikTok 的服務範圍,但其用戶數量在 2021 年 9 月已突破 10 億,在 Google Play商店的下載量更超過 10 億次,因此一旦應用程式出現安全漏洞,造成的影響將會非常大。但偏偏 TikTok 的安全問題一直為人垢病,除了這次被發現的零日漏洞,在過去四年間都曾發生不同程度的安全事故。例如在2020年,網絡安全公司 Check Point 便曾指出 TikTok 存在嚴重的安全漏洞,黑客只須向用家發送帶有惡意連結的訊息及引誘對方點擊,就可控制受害者的帳戶,包括上傳影片或讀取私密影片。
而在 2022 年,Microsoft 亦曾指出 TikTok 的 Android 版應用程式允許攻擊者通過誘使用家點擊特製連結而騎劫帳戶,專家解釋主要原因在於 Android 版 TikTok 用於顯示網頁內容的 WebView 元件存在漏洞,可讓黑客獲取用家的登入憑證,繼而修改用家的 TikTok 帳戶資料,可見 TikTok 在保障用家帳戶安全的問題上,似乎不夠慎密。
唔想成為下一個騙案受害人?
