网络安全研究人员披露了 TikTok 中一个现在已经修补好的安全漏洞,这个漏洞可能会让攻击者建立一个应用程序用户及其相关电话号码的数据库,以备未来恶意活动之需。
Check Point Research 在与 The Hacker 分享的一份分析报告中说,尽管这个漏洞只会影响那些将电话号码与自己的账户联系起来或者登录到电话号码的用户,但成功利用这个漏洞可能会导致数据泄露和隐私侵犯。
根据 Check Point 研究人员的负责任的披露,TikTok 已经部署了一个补丁来解决这个漏洞。
TikTok“查找好友”功能存在漏洞
这个新发现的漏洞存在于 TikTok 的“查找好友”功能中,该功能允许用户将他们的联系人与服务同步,以识别潜在的关注对象。
联系人通过 HTTP 请求以列表的形式上传到 TikTok,该列表由联系人姓名和相应的电话号码组成。
下一步,应用程序发出第二个 HTTP 请求,检索连接到前一个请求中发送的电话号码的 TikTok 配置文件。这个响应包括个人资料名称、电话号码、照片和其他与个人资料相关的信息。
虽然上传和同步联系人请求被限制在,每天每位用户和每台设备的联系人为 500 人,但 Check Point 研究人员找到了一种方法来解决此限制,通过获取设备标识符,服务器设置的会话 Cookie,唯一使用 SMS 登录到帐户并在运行 Android 6.0.1 的模拟器中模拟整个过程时设置的称为“ X-Tt-Token”的令牌。
值得注意的是,为了从 TikTok 应用程序服务器请求数据,HTTP 请求必须包含 X-Gorgon 和 X-Khronos 标头以进行服务器验证,以确保消息不被篡改。
但是,通过修改 HTTP 请求(攻击者希望同步的联系人数量),并用更新的消息签名重新签名,该漏洞使大规模上传和同步联系人的过程自动化成为可能,并创建了一个关联账户及其连接电话号码的数据库。
TikTok 发起赏金项目,重大漏洞发现者有机会获得 14800 美元
这已经不是第一次发现流行的视频分享应用程序存在安全漏洞了。
2020 年 1 月,Check Point 的研究人员发现了 TikTok 应用程序的多个漏洞,这些漏洞可能被用来获取用户账户并操纵其内容,包括删除视频、上传未经授权的视频、公开私人“隐藏”视频,以及泄露保存在账户上的个人信息。
去年四月份,安全研究员 Talal Haj Bakry 和 Tommy Mysk 揭露了 TikTok 的漏洞,这些漏洞使得攻击者可以通过重定向应用程序到一个假的服务器来显示伪造的视频,包括那些来自认证账户的视频。
最终,TikTok 在去年 10 月与 HackerOne 发起了一个 bug 奖励合作项目,以帮助用户或安全专业人员识别与该平台有关的技术问题。根据该计划,重大漏洞的发现者(CVSS 得分 9-10)有资格获得 6900 美元至 14800 美元的奖金。
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。