TikTok修复了可能使黑客操纵帐户并访问个人数据的安全漏洞( 二 )_世界上最流行的移动应用程序之一可能存

通过编辑下载url参数，攻击者可以发送包含攻击者拥有的恶意链接的伪造短信。

然而，这并不是研究人员发现的唯一一个漏洞，因为他们发现TikTok官方网站的TikTok Ads子域易受跨站点脚本（XSS）攻击，使得攻击者能够通过可信域注入恶意脚本，以攻击用户。

研究人员发现，当使用TikTok广告帮助中心的搜索功能时，可以通过在搜索结果的地址中输入代码来操作这个域。

通过组合这些，攻击者有可能操纵受害者的TikTok帐户。他们可以删除视频，公开私人视频或者发布自己的视频。

然而，账户操纵并不是这些漏洞的唯一潜在风险，因为研究人员发现，可以将短信和XSS漏洞结合起来，检索非公共消费的敏感信息，包括姓名、电子邮件地址和出生日期。

“社交媒体应用程序针对性很强，因为它们提供了个人、私人数据的良好来源，并提供了巨大的攻击面。 Check Point的产品漏洞研究负责人奥德瓦努努（Oded Vanunu）说：“恶意行为人花费大量的金钱和时间试图渗透这些非常受欢迎的应用程序，但大多数用户都假设他们受到正在使用的应用程序的保护。 ” 。