全球多位名人的TikTok账户遭到黑客攻击

该消息最先由新闻网站 Semafor 和《福布斯》杂志报道，其中详细介绍了一项零点击账户接管活动，该活动允许恶意软件通过直接消息传播，从而渗透到品牌和名人的账户中，而无需他们点击或与任何内容进行交互。

黑客利用了消息传递组件中一个未知且未修补的安全漏洞（也称为零日漏洞），该漏洞允许恶意代码在消息打开后立即执行。

目前尚不清楚有多少用户受到影响，但 TikTok 发言人表示，公司已采取措施遏制攻击并防止将来再次发生。

该公司补充说，它正在与受影响的账户所有者直接合作，以恢复访问权限，并且此次攻击仅影响了“极少数”用户。然而，TikTok 并未提供有关攻击性质或其使用的缓解技术的任何具体细节。

这并不是TikTok首次被发现存在安全问题。2021年1月，以色列安全解决方案提供商Check Point也披露了TikTok的一个漏洞，该漏洞可能允许攻击者构建该应用用户及其关联电话号码的数据库，以用于未来的恶意活动。

随后，在 2022 年 9 月，微软发现了一个影响 Android 设备上 TikTok 应用程序的单击漏洞，当受害者点击黑客提供的链接时，该漏洞可能允许攻击者控制帐户。

美国网络安全公司 Imperva 一年多前披露的另一个问题表明，TikTok 应用程序中的一个安全漏洞可能允许攻击者跟踪用户活动并访问移动设备和台式机上的敏感信息。

网络安全公司 Imperva 表示：“利用此漏洞，攻击者可以通过 PostMessage API 向 TikTok Web 应用程序发送恶意消息，从而绕过安全措施。消息处理器随后会将恶意消息视为来自可信来源，从而使攻击者能够访问敏感的用户信息。”

不仅如此，去年有报道称，通过不安全的渠道发送短信使黑客能够拦截一次性密码并访问用户的 TikTok 帐户以增加点赞和关注者，土耳其有多达 70 万个 TikTok 帐户被发现遭到入侵。

不法分子还利用 TikTok 的“隐形挑战”趋势来传播窃取信息的恶意软件，凸显了攻击者持续通过非正统方法传播恶意软件的努力。

入侵 TikTok 等拥有大量粉丝的账户仍然存在风险，因为传播恶意软件或虚假信息的能力要快得多。

这对TikTok用户，尤其是明星和大品牌来说是一个严重的警告。为了保护自己的账号，用户在打开陌生人信息时应保持谨慎，并将TikTok应用程序更新到最新版本。

TikTok 的中国血统引发了人们的担忧，人们担心该应用程序可能被用作收集美国用户敏感信息和宣传的工具，最终导致美国通过了一项法律，禁止 TikTok 在美国境内使用，除非将其从母公司字节跳动剥离。

针对美国的禁令，TikTok向美国法院提起诉讼，称这是“对言论自由的极大干涉”，美国只是提出“推测性担忧”来为禁令辩护。

短视频应用TikTok已被全球多个国家禁用，包括印度、尼泊尔、塞内加尔、索马里和吉尔吉斯斯坦。此外，美国、英国、加拿大、澳大利亚和新西兰等一些国家已禁止在政府设备上使用该应用。