抖音国际版已出售：全球10亿用户被别有用心之徒盯上盯上寺量子位报道

抖音国际版已出售：全球10亿用户被别有用心之徒盯上盯上寺量子位报道

鱼羊起源于奥飞寺

量子位报告 | 公众号

,抖音海外版，今天因为一个漏洞，再次成为热议的焦点。

这个安全漏洞，用外行的话来说很简单：基于基础设施设计，黑客可以有机会向用户发送恶意链接，然后“为所欲为”。

也就是说，这个“家”的海外版门锁有问题，攻击者可以开门进入——他可以发布草稿箱的视频，进一步窃取账户支付信息，甚至拿走通过用户帐户。

发现该漏洞的研究人员表示：考虑到全球有10亿用户，被别有用心的人盯上是很麻烦的。

那么到底是个什么样的漏洞呢？

抖音海外版安全漏洞

漏洞发现者是世界知名的以色列网络安全公司：Check Point。

总部位于特拉维夫抖音国际版已出售，提供 IT 安全软件和硬件服务，被公认为全球首屈一指的安全解决方案提供商。

这种权限也让此次暴露的安全漏洞备受关注。

Check Point研究攻防发现，抖音海外版的基础架构设计——让黑客有机会向用户发送带有恶意链接的消息。

通过这个漏洞，黑客可以操纵用户数据并获取个人隐私数据。

用户点击链接后，攻击者可以进行进一步的攻击并接管他们的账户，包括上传视频和访问私人视频。

具体来说，由于用户在注册时必须提供手机号码（与国内的抖音相同），因此黑客可以访问这些代码。因此，他们可以伪装成“”并向用户发送消息，从而接管受害者帐户的控制权。

一旦攻击成功，黑客几乎可以为所欲为：

发现漏洞的安全人员还解释说：

由于缺乏防跨站请求伪造机制抖音国际版已出售，攻击者可以在未经受害者同意的情况下执行代码，代表受害者执行操作。

而且，一旦攻击者获得了用户账户的部分控制权，他就可以通过API调用获取用户的隐私信息，包括姓名、邮箱地址、支付信息、生日等。

Check Point 产品漏洞研究主管 Oded 表示，该产品在全球拥有近 10 亿用户，由于数据量巨大，已成为黑客的主要目标。

而且由于这样的应用程序可以在多个平台上使用，恶意攻击很容易迅速升级。

从这个解释中，也暗示了“漏洞”不仅限于海外版——毕竟“10亿用户”，那么国内版可能也算在内。

字节跳动回应：漏洞已修复

但是这个漏洞是否涉及抖音国内版？还不知道。

字节跳动官方没有解释和解释。

但从时间上看，该漏洞是在 2019 年 11 月发现并提交的，当时 Check Point 按照江湖规则将该漏洞上报给字节跳动。

随后12月15日，字节跳动回复：漏洞问题已修复——使用名称。

但是抖音国际版已出售：全球10亿用户被别有用心之徒盯上盯上寺量子位报道，由于太平洋两岸的局势以及美国对中国公司拥有的产品的隐私担忧，该漏洞已不再是安全漏洞那么简单。

最近，它刚刚因为被美国军方禁止而引起关注。

而现在“安全漏洞”无异于火上浇油。

《纽约时报》评论称，在美军禁止士兵使用抖音 后，Check Point 发现的漏洞可能会使这些问题复杂化。

它还表示，它受到美国立法者的关注，诸如此类的隐私泄露将进一步加剧这些担忧。

《纽约时报》还指出，由于抖音的用户主要是年轻人抖音号转让平台，他们可能不太在意安全更新，这也给黑客带来了可乘之机。

虽然确实有点针对性，但海外版的抖音也是“欲戴王冠，必负重”。

抖音它在海外有多受欢迎？

在2017年以10亿美元收购短视频应用.ly后，字节跳动将拥有2.4亿注册用户的应用与抖音国际版合并，进军国际市场。

此后，中国最受欢迎的短视频应用抖音也在海外市场实现了病毒式扩张，成为美国、日本、法国、印度等多个国家下载量最大的社交软件。接近15亿。

在美国，下载量超过1.1亿，多次进入美国Apple App Store下载量前三名。

在日本，根据日本电视台 NTV 的数据，十分之一的移动互联网用户使用或下载。

据 Le 称，38% 的法国青少年（11 至 14 岁）拥有账户。

在印度，5 亿智能手机用户中有 2 亿是用户。

它在年轻人中的发展势头似乎超过了其他社交媒体。

就连创始人扎克伯格在一次内部会议上也承认，这是这家中国科技巨头在全球表现出色的第一款消费互联网产品。

从规模上看，我认为已经超过了印度的One Li 视频泄露事件

美媒曝光的这起漏洞事件可能回答了PG One的“抖音问题”只是个意外，也可能给了他当时“故意炒作”的清白。

2019年10月末，李小璐与PGone同框的三段视频突然流出，引发千浪。

而且，从视频形式和玩法的特点，很快就被导向了抖音平台。

此前，PG One曾试图卷土重来，所以视频出来后，不少吃瓜网友认为是“故意炒作”，趁机卷土重来。

不过很快，PG One 就发了一篇长文回应。一方面解释了为什么会有“嫂子”李小璐这么有爱的视频，另一方面也明确表示视频不是自己拍的，并问道：

为什么去年在抖音上拍摄的视频在没有任何谣言的情况下发布了？

PG One 的粉丝也支持这一点：说唱歌手是真实的，如果不是的话，而且视频确实没有平台标志。

随后，有网友爆料称抖音国际版已出售：全球10亿用户被别有用心之徒盯上盯上寺量子位报道，该视频是抖音员工通过抖音后台从PGone的草稿箱下载的。

但抖音立即回应：草稿视频不会上传到后台。并表示将进行进一步调查。

当时眼尖的网友也注意到，在抖音APP端的“隐私政策”中，有这样一条：发布音视频时，在点击“发布”确认上传之前，我们可能会暂时加载到服务器上。

简而言之，像大多数娱乐热点一样，乱七八糟的吃瓜和隐私和安全纠纷的教训很快就被遗忘了。

抖音官方后续没有进一步的公开解释。

响应错误

漏洞曝光后，抖音海外版也发布了公开回应。中英文版全文如下：

Luke，PhD，Team：“是为了用户数据。像许多人一样，我们对我们来说是零日。这一切都在我们的应用程序中。我们希望这将与。”

安全团队的Luke博士说：“不久前，网络安全公司的研究团队将他们发现的漏洞提交给我们，我们已经在上一版本的APP中修复了相关漏洞，我们非常感谢和鼓励更多白帽团队使用非公开方式为我们提供线索，帮助我们发现和修复漏洞，保护用户的网络安全。”

至于国内版抖音是否存在类似漏洞，暂未公开表态，但如果有来自豆友的顾虑，可以及时更新最新版本。

从iOS版本的迭代来看抖音号买卖网站，12月份有大版本更新，但是和bug修复有关吗？

版本更新和官方声明都没有说。

我们也询问了字节跳动官方，截至发稿时没有任何解释。

嗯，只是酱~~

参考：

-结束-

@qubit 追踪人工智能技术和产品的新趋势

感触很深的朋友，欢迎点赞，关注分享连续三连 վ'ᴗ' ի❤