字节跳动修补可外泄用户个资的TikTok漏洞

资安业者Check Point Research本周揭露了一个藏匿在短影音程式TikTok中的安全漏洞，将允许骇客存取使用者的个人档案资料，包括电话号码在内，不过TikTok母公司字节跳动已修补了此一安全漏洞。

Check Point解释，TikTok去年4月就启动了私有的抓漏专案，接着美国总统川普（Donald Trump）在8月签署行政命令，以TikTok大量搜集美国人资料为由准备封锁它，继之TikTok在10月与HackerOne合作扩大抓漏专案，使得该团队决定针对TikTok如何处理使用者资料展开调查。

很快地，研究人员便发现TikTok支援通讯录同步功能，若程式用户同步了手机的通讯录，便更容易于TikTok上找到亲友，简单地说，此一功能可用来连结使用者的个人档案资料与电话号码。不过，倘若被开采，该漏洞只会影响那些选择在账号中填入电话号码的TikTok用户，或是以电话号码登入的用户，在骇客握有使用者个人资料及电话号码时，就能调查更多有关使用者的资讯。

Check Point串连并开采了TikTok的多个安全漏洞，以自动大规模地上传与同步通讯录，进而打造内含电话号码的使用者数据库，造成TikTok用户的资料外泄。

TikTok不仅全球下载量已超过20亿，亦已跻身为每月10亿活跃用户俱乐部的成员，与脸书、Instagram、Messenger、WhatsApp、YouTube及WeChat等服务并驾其驱。