魚羊 發自 凹非寺

量子位 報道 | 公眾號

，抖音海外版，今天因為一個漏洞，再次成為熱議焦點。

這個安全漏洞，通俗來講很簡單：基于的基礎架構設計，黑客可以有機會向用戶發送惡意鏈接，然后“為所欲為。”

也就說抖音海外版這個“家”，門鎖有問題，攻擊者開門進去——可以公開草稿箱視頻、可以進一步竊取賬戶支付信息，甚至進一步還能接管用戶帳號。

發現漏洞的研究員說：考慮到全球有15億用戶，被別有用心之徒盯上就麻煩了。

所以究竟是一個怎樣的漏洞？

抖音海外版安全漏洞

漏洞發現者，是一家全球知名的以色列網絡安全公司： 。

總部位于特拉維夫抖音海外版運營，提供IT安全軟件和硬件服務，是公認的全球首屈一指的安全解決方案供應商。

這種權威性，也讓此次曝光的安全漏洞備受關注。

在研究和攻防中發現，抖音海外版——的基礎架構設計，使得黑客有機會向用戶發送帶有惡意鏈接的信息。

通過這個漏洞，黑客能夠操縱用戶數據，攫取個人隱私數據。

在用戶點擊鏈接后抖音海外版運營，攻擊者就能進一步發動攻擊，接管其賬戶，包括上傳視頻、訪問私人視頻。

具體來說，由于用戶在注冊時必須提供手機號碼（跟國內抖音一樣），而黑客可以訪問到這些代碼。于是，他們能偽裝成“”，向用戶發送信息，借此接管受害者賬戶控制權。

一旦攻擊成功，黑客差不多能為所欲為：

刪除視頻，上傳視頻，公開私有視頻

將用戶強制引向黑客控制的Web服務器，執行未經用戶許可的操作請求

將用戶重定向到偽裝成的惡意網站

發現漏洞的安全人員還解釋：

由于缺乏反跨站請求偽造機制，無需受害者同意，攻擊者就可以執行代碼，替代受害者執行操作。

并且，一旦攻擊者獲得用戶賬戶的部分控制權，就可以通過API調用，獲取該用戶的隱私信息，包括姓名、電子郵箱、付款信息和生日等。

產品漏洞研究負責人——奧德·瓦努努（Oded ）表示，在全球范圍擁有接近15億的用戶數量，由于數據量巨大，這一產品成為了黑客的重點關注目標。

而且由于這樣的應用程序可以在多個平臺上使用，因此惡意攻擊很容易迅速升級。

從這個解釋里，也暗示“漏洞”不止于抖音海外版——，畢竟“15億用戶數量”，那就可能要把國內版本也計算在內了。

字節跳動回應：漏洞已修復

不過這個漏洞是否涉及了抖音國內版？目前還不知道。

字節跳動官方也沒解釋和說明。

但時間上，漏洞被發現并提交的時間是2019年11月，當時 按照江湖規矩，把漏洞報告給了字節跳動。

其后12月15日，字節跳動方面回復：漏洞問題已得到修復——用的是之名。

然而，由于太平洋兩岸形勢，以及美國對中國公司旗下產品的隱私安全擔憂，這個漏洞不再是一個安全漏洞那么簡單。

最近，剛因為被美軍禁用引起過關注。

而現在“安全漏洞”，無異于火上澆油。

《紐約時報》就評論稱，在美國軍方禁止士兵使用抖音之后， 發現的漏洞可能會使這些問題更加復雜。

也表示，正在受到美國立法者的關注，而諸如此類的隱私漏洞會進一步加劇這些擔憂。

紐約時報還指出，由于抖音的用戶以年輕人為主，他們可能對安全更新并沒有那么在意，這也給黑客帶來了可乘之機。

雖然確實有點被針對，但抖音海外版，也是“欲戴王冠必承其重”。

抖音在海外有多火？

2017年以10億美元的價格收購短視頻應用.ly之后，字節跳動將這一擁有2.4億注冊用戶的App與抖音國際版進行了合并，推向國際市場。

此后，抖音這一中國最受歡迎的短視頻App，在海外市場也實現了病毒式擴張，成為包括美國、日本、法國、印度等多個國家下載量最高的社交軟件，全球用戶已接近15億。

在美國，有超過1.1億的下載量，多次進入美國蘋果應用商店下載量前三甲。

在日本，據日本電視臺NTV報道，移動互聯網用戶中每十個人里就有一個人使用或下載。

而據《巴黎人報》報道：38%的法國青少年（11歲至14歲）擁有賬號。

在印度，5億智能手機用戶里，有2億都是用戶。

其在青少年群體中的發展勢頭，儼然超過、等一眾社交媒體。

連創始人扎克伯格都在內部會議上承認，是中國科技巨頭在世界范圍內首個表現出色的消費互聯網產品。

就規模而言，我認為在印度已經超越了

PG One李小璐視頻泄露事件

只不過意外的是，這個被美媒曝光的漏洞事件，有可能解答PG One的“抖音之問”，也有可能還他一個當時“故意炒作”的清白。

2019年10月底，三段李小璐和同框視頻，忽然流出，一石激起千層浪。

而且從視頻形式、玩法等特點，很快被指向抖音平臺。

此前，PG One曾有過復出嘗試，于是視頻流出后，不少吃瓜網友認為是“故意炒作”，借機復出。

但很快，PG One就長文回應，一方面解釋與“嫂子”李小璐為何有如此恩愛視頻，另一方面也明確表示視頻并非主動為之，并且提出質問：

為什么去年在抖音拍的視頻，在沒有任何外傳的前提下會被放出來？

PG One的粉絲也以此聲援：說唱歌手都real，不是就不是，而且確實視頻沒有平臺logo。

其后還進一步有網友爆料，稱該視頻時抖音員工通過抖音后臺，從的草稿箱里下載下來的。

但抖音隨即回應：草稿視頻不會上傳至后臺。并表示會進一步展開調查。

當時也有眼尖的網友注意到，在抖音APP端的“隱私政策”中，有這樣一條：當您發布音視頻時，在點擊“發布”確認上傳之前，我們可能會將該音視頻臨時加載至服務器。

總之，一筆吃瓜糊涂賬，一堂隱私安全爭議課，最后跟大部分娛樂熱點一樣，很快被遺忘。

抖音官方后續也沒有進一步再有公開說明。

回應漏洞

在漏洞曝光后，抖音海外版也發表了公開回應，英中版本全文如下：

Luke , PhD, Team: “ is to user data. Like many , we to zero day to us. , that all were in the of our app. We hope that this will with .”

安全團隊的Luke 博士表示，“不久前，網絡安全公司的研究團隊向我們提交了他們發現的漏洞，我們已經在的上一版本APP中修復了相關漏洞。我們感謝同時鼓勵更多白帽子團隊用非公開的方式向我們提供線索，幫助我們發現、修復漏洞，保護用戶網絡安全?！?/p>

至于抖音國內版本是否存在類似漏洞，還沒有公開說明，不過如果有抖友擔憂，也可以及時更新最新版本。

從iOS版本迭代來看，12月剛好有一次大版本更新，但是否與漏洞修復相關？

版本更新資料和官方聲明中都沒有說。

我們也問了字節跳動官方，截至發稿尚無說明。

嗯，就醬~~

參考：

作者系網易新聞·網易號“各有態度”簽約作者

— 完 —