可能的 TikTok 违规引发了有关数据泄漏和安全性的问题

最受欢迎的社交媒体应用程序之一正因数据泄露而面临更严格的审查，因为发现了可能影响超过 10 亿用户的 TikTok 安全漏洞。

周一，多位网络安全专家发布推文称，据称发现了一个未受保护的服务器漏洞，该漏洞允许访问 TikTok 的存储，他们认为该存储包含个人用户数据。就在几天前，微软公司宣布发现一个“严重漏洞”，该漏洞可能导致安卓应用程序出现 TikTok 漏洞，“这将使攻击者只需单击一下即可破坏用户的帐户。”

最受欢迎的社交媒体应用之一正因数据泄露而面临更严格的审查，因为 TikTok 可能违反安全规定，可能影响超过 10 亿... — 可能的 TikTok 违规引发了有关数据泄漏和安全性的问题

来自字节跳动有限公司的 TikTok 一年前的月用户数突破了 10 亿，现在是许多年轻人最喜欢的应用。因此，对于希望窃取热门帐户或转售关键信息的黑客来说，它是一个有吸引力的目标。特朗普政府在 2020 年将其归类为隐私危害，并几乎禁止它，因为担心其总部位于北京的母公司与中国政府之间的潜在联系。

该公司淡化了 TikTok 的安全漏洞

TikTok 表示，周末检测到的违规报告是错误的。据一位代表称，“我们的安全团队对这一声明进行了调查，并确定有问题的代码与 TikTok 的后端源代码完全无关。”

澳大利亚在线安全分析师 Troy Hunt 检查了一些被盗数据样本，发现用户个人资料和使用这些 ID 提交的电影之间存在相似之处。但是，泄漏中的部分信息是“可以在没有破坏的情况下构建的可公开访问的数据”。他张贴在推特上说：

“到目前为止，这还没有定论；一些数据与生产信息相匹配，尽管是可公开访问的信息。有些数据是垃圾，但它可能是非生产或测试数据。到目前为止，情况有点复杂。”

微软发现了一个可能影响 Android 手机的较小漏洞。 Microsoft 365 Defender 研究团队的 Dimitrios Valsamaras 表示，它可能使攻击者能够访问和修改“TikTok 个人资料和敏感信息，例如通过公开私人视频、发送消息和代表用户上传视频”。据 TikTok 发言人称，该公司立即对微软的调查结果做出回应，并纠正了“在某些旧版本的 Android 应用程序中”发现的安全漏洞。

TikTok引起的数据泄露是美国的严重关切

无论缺陷多么不确定或多么轻微，在美国可能加强对与中国有联系的公司的制裁之际，TikTok 及其母公司都将受到密切关注。 6 月，九名美国参议员要求 TikTok 的首席执行官在一封公开信中解释所谓的安全漏洞。

乔·拜登总统将签署一项行政命令，限制美国对中国科技企业的投资，并且有可能针对 TikTok 采取单独措施，政府将密切关注中国政府是否可以访问美国用户数据。该公司已通知美国国会，它已通过与甲骨文公司的交易采取预防措施来保护此类数据。

澳大利亚-美国网络安全企业 Internet 2.0 Inc. 的联合首席执行官罗伯特·波特 (Robert Potter) 表示：“TikTok 的运作方式受到了很多关注，它的运作方式与它所说的运作方式之间存在很大差距。”在发布的一项研究中7 月，Potter 的团队表示，他们发现 TikTok 在用户设备上“收集了过多的数据”，该应用程序至少每小时检查一次设备位置，并且它包含收集设备和 SIM 卡序列号的代码。 TikTok 驳斥了这些调查结果，声称它们“错误地陈述了我们收集的数据量”。

3/ Internet2.0 错误地陈述了我们收集的数据量。例如，我们不收集用户设备的 IMEI、SIM 序列号、有效订阅信息或集成电路卡识别号，也不收集精确的 GPS 位置。
— TikTokComms (@TikTokComms) 2022 年 7 月 18 日

这一消息在澳大利亚引起了广泛关注，新任内政部长克莱尔·奥尼尔周一透露，她已指示她的机构调查 TikTok 收集了哪些数据以及谁可以访问这些数据。奥尼尔在电子邮件评论中说：

“我们在这里遇到了这个基本问题，我们的技术公司总部设在对私营部门采取更加专制的方式的国家。 TikTok 不是这一切的开始和结束。这是这些非常占主导地位的科技公司以及它们在我们生活中所扮演的角色所引发的众多问题之一。”

TikTok 可能是“键盘记录”，可能导致数据泄露

上个月的另一项研究集中在安全研究员 Felix Krause 的应用内浏览器上，他创建了一个工具来验证程序在 WebView 中的作用。该研究重点关注使用应用内浏览器的移动应用程序的漏洞，检查了大约 25 个最受欢迎的 iOS 应用程序，发现 TikTok 在其应用内浏览器中采用了键盘记录方法。根据克劳斯的说法，“TikTok iOS 订阅了在 TikTok 应用程序内呈现的第三方网站上发生的每一次击键（文本输入）。这可能包括密码、信用卡信息和其他敏感的用户数据。”

Tower of Fantasy Twitch Drops：如何链接和领取掉落物？

他还观察到 TikTok 的 iOS 版本使用 JavaScript 代码来分析用户点击的内容。虽然克劳斯承认他不知道 TikTok 对订阅做了什么，但他声称 TikTok 在福布斯的一篇文章中的回应表明它具有键盘记录功能。 TikTok 在一份声明中回应 TechTarget，称该报告的调查结果不正确且具有误导性：“研究人员明确表示，JavaScript 代码并不意味着我们的应用程序正在做任何恶意行为，并承认他们无法知道我们的应用程序内浏览器的数据类型收集。与报告声称的相反，我们不会通过此代码收集击键或文本输入，这些代码仅用于调试、故障排除和性能监控。”

但是，信息安全专家认为 TikTok 使用键盘记录进行调试的用途有限。例如，Sophos 的首席研究科学家 Chester Wisniewski 表示，故障排除通常由操作系统而非软件提供。例如，Apple 将对 iPhone 问题负责，Google 对 Android 问题负责，因为它们分别使用 Safari 和 Chrome。

根据专门研究网络安全和隐私的咨询公司 DGC 的合伙人 Nick DeLena 的说法，键盘记录通常被视为侵犯隐私，当发现应用程序或服务使用它时，他们通常会被迫采用另一种调试方式. DeLena 表示，TikTok 软件的风险尤其大，因为中国政府持有 TikTok 母公司字节跳动的股份。

无论 TikTok 是否仅使用调试功能，它仍可能对组织构成安全风险。根据 Synopsys 首席安全策略师 Tim Mackey 的说法，如果在工作中使用该程序，敏感的公司信息可能会包含在键盘记录数据包中。虽然许多公司阻止在工作设备上下载某些应用程序或服务，但管理不断增长的远程劳动力可能会出现问题。这种转变加深了工作和个人生活之间的鸿沟。