近几个月来,Check Point Research 团队在 TikTok 移动应用(抖音国际版)的“朋友查找”功能中发现了一个漏洞:该漏洞一旦被利用,攻击者便可以访问用户的个人资料信息以及帐户相关联的电话号码, 进而建立相关数据库,发起恶意活动。
Check Point Research 已向 TikTok 的开发人员和安全团队通报此漏洞,TikTok 负责任地部署了解决方案,以确保用户可以继续安全地使用应用。
背景
2020 年 1 月,Check Point Research 发表了一份有关 TikTok 漏洞的报告。报告称该漏洞可使攻击者访问保存在用户帐户中的个人信息,并操纵用户帐户信息或未经授权地代表用户执行操作。TikTok 主动负责任地部署了解决方案。2020 年 4 月,TikTok 启动一项隐私漏洞奖励计划,并于同年 10 月份与 HackerOne 就此建立全球性公共伙伴关系,鼓励安全研究人员查找并负责任地披露安全漏洞,以便 TikTok 团队及时消除漏洞风险,让攻击者无机可乘。
TikTok 用户隐私受到威胁
由于Check Point Research 的主要目的是调查 TikTok 的隐私安全性,团队将注意力放在了与用户数据有关的所有应用操作上。为了方便参考,Check Point Research 密切关注并比对了 2019 年有关 Instagram 的一份报告,该报告证实 Instagram 存在可能导致用户帐户信息和电话泄露的安全问题。 经调查发现,TikTok具有联系人同步功能,这意味着用户可以同步手机中的联系人,从而在 TikTok 上轻松找到可能认识的人。简而言之,这可以将用户的个人资料信息关联到他们的电话号码。如果被利用,此漏洞将会影响那些选择将电话号码与帐户关联(并非强制要求)或使用电话号码登录的用户。
攻击者可以通过这些电话号码和个人资料信息获取用户在 TikTok 以外的更多信息,比如搜索其他帐户或可用数据。
Check Point Research采用三步法深入研究了正在调查的操作:
第一步 — 创建设备列表(注册物理设备)。每次启动时,TikTok 应用都会执行设备注册程序,以确保用户未切换设备。
第二步 — 创建有效期为 60 天的会话令牌列表。在移动设备的短信登录过程中,TikTok 服务器通过生成令牌和会话 cookie 来验证数据。研究期间我们发现会话 cookie 和令牌数值在 60 天后过期,这意味着我们可以使用同一 cookie 登录数周。
第三步 — 绕过 TikTok 的 HTTP 消息签名。我们提出的主要研究问题是:用户能否查询 TikTok 数据库并因此导致隐私受到侵犯? 答案是肯定的:我们发现攻击者可以通过绕过 TikTok 的 HTTP 消息签名来操纵登录过程,从而自动大规模上载和同步联系人,最终建立一个用户信息及其电话号码数据库,以待随时发起攻击。
结语
报告指出,TikTok 每月用户增加 1 亿,全球下载量已超过 20 亿,其规模自 2018 年以来几近翻到三倍。 据移动数据和分析公司 App Annie 预测,2012 年 TikTok 不仅将加入 Facebook、Instagram、Messenger、WhatsApp、YouTube 和微信 10 亿月活用户 (MAU) 的行列,而且还将突破这一大关,达到平均每月 12 亿活跃用户。
这种惊人的受欢迎程序加上有关该应用隐私安全问题的持续报告,是推动Check Point Research 执行这项隐私安全研究的重要因素。 我们很高兴能够与 TikTok 团队携手解决这些问题,为用户享受安全有趣的使用体验贡献力量。
好文章,需要你的鼓励
来自香港科技大学和MiniMax的研究团队开发了SynLogic,一个可合成35种逻辑推理任务的框架与数据集,填补了AI逻辑训练资源缺口。研究表明,在SynLogic上进行强化学习训练显著提升了模型逻辑推理能力,32B模型在BBEH测试中超越了DeepSeek-R1-Distill模型6个百分点。更值得注意的是,将SynLogic与数学和编程数据混合训练不仅提高了这些领域的学习效率,还增强了模型的泛化能力,表明逻辑推理是构建通用AI推理能力的重要基础。
这项研究揭示了大型语言模型的惊人能力:只需两个特殊训练的向量,冻结的语言模型就能在一次计算中生成数百个准确词汇,而非传统的逐词生成。研究者发现,这种能力要求特定的输入排列方式,且生成速度比自回归方法快约279倍。这一发现不仅展示了语言模型未被充分探索的并行生成潜力,还为快速文本重建开辟了新方向。
腾讯混元团队提出的"ConciseR"是一种通过两阶段强化学习实现大模型简洁推理的新方法。研究遵循"先走后跑"原则,先确保模型具备准确推理能力,再优化输出简洁性。第一阶段通过改进的群体相对策略优化(GRPO++)提升推理能力,第二阶段通过长度感知的群体相对策略优化(L-GRPO)减少输出长度。实验结果显示,该方法在AIME、MATH-500等多个基准测试中既减少了输出长度(平均20%以上),又保持或提高了准确率,展现出高效率-高准确率的理想平衡。
这项由香港科技大学团队开展的研究首次全面评估了压缩对大语言模型Agent能力的影响。研究发现,虽然4位量化能较好地保留工作流生成和工具使用能力(仅下降1%-3%),但在实际应用中性能下降达10%-15%。团队提出的ACBench基准测试横跨工具使用、工作流生成、长文本理解和实际应用四大能力,评估了不同压缩方法对15种模型的影响。结果显示,AWQ量化效果最佳,蒸馏模型在Agent任务上表现不佳,大型模型对压缩更具韧性。研究还提出ERank等创新分析方法,为实际部署提供了切实指导。