热门视频共享平台 TikTok 承认存在一个安全问题,威胁行为者利用该问题控制了平台上的知名账户。
Semafor 和《福布斯》首次报道了这一进展,详细介绍了一项零点击账户接管活动。该活动通过直接消息传播的恶意软件入侵品牌和名人账户,无需用户点击或与之交互。
目前尚不清楚有多少用户受到影响,但 TikTok 发言人表示,公司已采取预防措施阻止此次攻击并防止类似事件再次发生。TikTok 正在直接与受影响账户的持有人合作恢复访问权限,并称此次攻击仅成功入侵了“极少数”用户,但未提供有关攻击性质或缓解技术的详细信息。
这并非首次在广泛使用的服务中发现安全问题。2021 年 1 月,Check Point 详细介绍了 TikTok 中的一个漏洞,该漏洞可能使攻击者构建应用程序用户及其关联电话号码的数据库,以备将来恶意活动。2022 年 9 月,微软发现了一个影响 TikTok Android 应用程序的一键式漏洞,当受害者点击特制的链接时,攻击者可以接管账户。
此外,去年土耳其多达 700,000 个 TikTok 帐户被发现遭到入侵。攻击者通过不安全渠道发送短信拦截一次性密码并访问 TikTok 用户的帐户,增加点赞和关注者。不法分子还利用 TikTok 的“隐形挑战”传播窃取信息的恶意软件,凸显出攻击者通过非常规手段传播恶意软件的努力。