世界上最流行的移动应用程序之一可能存在多个漏洞,使得攻击者能够操纵用户帐户并公开个人数据,包括姓名、电子邮件地址和出生日期。
由CheckPoint的研究人员发现,视频共享和社交网络应用TikTok的安全漏洞可能会危及其用户的隐私。TikTok已经被全球超过10亿Android和iPhone用户下载。
虽然研究人员无法确定这些安全漏洞是否被利用,但Check Point已经与TikTok合作修复这些漏洞,并确保它们现在不能被黑客使用。
研究人员发现的第一个漏洞是TikTok应用程序的短信功能。为了帮助用户安装应用程序,该网站允许用户向自己发送带有下载链接的文本消息。但是,我们发现攻击者可以利用此漏洞进行恶意攻击。
此攻击要求攻击者知道目标受害者的电话号码;这可能是通过已经以某种方式连接到他们,通过社交工程或网络钓鱼获取,或者从被盗或公开的号码列表中获取。攻击是匿名的,不会透露攻击者的身份。
通过编辑下载url参数,攻击者可以发送包含攻击者拥有的恶意链接的伪造短信。
然而,这并不是研究人员发现的唯一一个漏洞,因为他们发现TikTok官方网站的TikTok Ads子域易受跨站点脚本(XSS)攻击,使得攻击者能够通过可信域注入恶意脚本,以攻击用户。
研究人员发现,当使用TikTok广告帮助中心的搜索功能时,可以通过在搜索结果的地址中输入代码来操作这个域。
通过组合这些,攻击者有可能操纵受害者的TikTok帐户。他们可以删除视频,公开私人视频或者发布自己的视频。
然而,账户操纵并不是这些漏洞的唯一潜在风险,因为研究人员发现,可以将短信和XSS漏洞结合起来,检索非公共消费的敏感信息,包括姓名、电子邮件地址和出生日期。
“社交媒体应用程序针对性很强,因为它们提供了个人、私人数据的良好来源,并提供了巨大的攻击面。Check Point的产品漏洞研究负责人奥德瓦努努(Oded Vanunu)说:“恶意行为人花费大量的金钱和时间试图渗透这些非常受欢迎的应用程序,但大多数用户都假设他们受到正在使用的应用程序的保护。”。
然而,在去年年底发现这些漏洞后,Check Point向TikTok的中国母公司ByteDance披露了这些漏洞,后者迅速展开工作,并部署了一个更新程序来修复安全漏洞。
TikTok向ZDNet确认,他们已经与Check Point合作解决了这个问题。
“TikTok致力于保护用户数据。像许多组织一样,我们鼓励负责任的安全研究人员私下向我们披露零日漏洞。
“在公开披露之前,CheckPoint同意在我们最新版本的应用程序中修补所有报告的问题。我们希望这一成功的解决方案将鼓励未来与安全研究人员的合作。
为了防止成为利用研究人员发现的漏洞进行攻击的牺牲品,如果用户还没有更新TikTok应用程序到最新版本,那么他们应该更新TikTok应用程序。
(内容翻译于zdnet.com)