TikTok Bug可能暴露了用户的个人资料数据和电话号码

发布时间:2021-01-27 10:23:00

  网络安全研究人员周二披露,TikTok中存在一个现已修补的安全漏洞,该漏洞可能使攻击者能够建立该应用程序用户及其相关电话号码的数据库,以备将来进行恶意活动。尽管这个漏洞只影响那些将电话号码与其帐户链接或使用电话号码登录的用户,但成功利用该漏洞可能导致数据泄露和隐私侵犯。



  TikTok已经部署了一个修复程序来解决CheckPoint研究人员在负责任地披露信息之后出现的缺陷。

  新发现的bug存在于TikTok的“寻找朋友”功能中,该功能允许用户将他们的联系人与该服务同步,以确定潜在的关注对象。

  联系人以列表的形式通过HTTP请求上传到TikTok,列表中包含散列的联系人姓名和相应的电话号码。

  在下一步中,应用程序将发出第二个HTTP请求,该请求检索与上一个请求中发送的电话号码连接的TikTok配置文件。此响应包括个人资料名称、电话号码、照片和其他与个人资料相关的信息。

  尽管上传和同步联系人请求限制为每天、每个用户和每个设备500个联系人,但Check Point研究人员发现了一种绕过限制的方法,即获得设备标识符,即服务器设置的会话cookie,这是一种称为“X-Tt-token”的唯一令牌,在使用SMS登录帐户时设置,并模拟会话运行android6.0.1的模拟器的整个过程。

  值得注意的是,为了从TikTok应用程序服务器请求数据,HTTP请求必须包含X-Gorgon和X-Khronos头,以进行服务器验证,从而确保消息不会被篡改。

  但通过修改HTTP请求(攻击者希望同步的联系人数量)并使用更新的消息签名对其重新签名,该漏洞使得大规模上传和同步联系人的过程自动化,并创建链接帐户及其连接电话号码的数据库成为可能。

  这远不是第一次流行的视频分享应用被发现存在安全漏洞。

  2020年1月,Check Point研究人员发现TikTok应用程序中存在多个漏洞,这些漏洞可能被利用来获取用户帐户并操纵其内容,包括删除视频、上传未经授权的视频、公开私人“隐藏”视频以及泄露保存在帐户上的个人信息。

  随后在今年4月,安全研究人员塔拉勒·哈吉·巴克里(Talal Haj Bakry)和汤米·迈斯克(Tommy Mysk)揭露了TikTok中的漏洞,通过将应用程序重定向到托管一组假视频的假服务器,攻击者有可能显示伪造的视频,包括来自已验证帐户的视频。

  最终,TikTok在去年10月与HackerOne建立了一个bug赏金合作伙伴关系,帮助用户或安全专业人士标记平台的技术问题。根据该计划,严重漏洞(CVSS得分9-10)有资格获得6900美元至14800美元的赔偿。

  CheckPoint产品漏洞研究负责人Oded Vanunu说:“我们这次的主要动机是探索TikTok的隐私。我们很好奇TikTok平台是否可以用来获取私人用户数据。事实证明,答案是肯定的,因为我们能够绕过TikTok导致隐私侵犯的多种保护机制。”

  具有该级别敏感信息的攻击者可以执行一系列恶意活动,如鱼叉式网络钓鱼或其他犯罪行为。

  【参考来源:thehackernews】

最新发布
1
《贵州省人力资源社会保障厅关于推动落实〈电子劳动合同订立指引〉有关工作的通知》政策解读
2
惊!91%的工业企业容易遭受网络攻击
3
9月1日,《电信和互联网用户个人信息保护规定》颁布8周年啦
4
来啦!沪上首份《电子劳动合同操作指引》抢先出炉
5
《中华人民共和国个人信息保护法》审议通过
6
国务院发布《关键信息基础设施安全保护条例》 9月1日起施行
7
规范“人脸识别”,为盗刷者戴上“紧箍咒”
8
谁说电信诈骗“雨你无瓜”?受骗对象90后占6成!
9
《网络安全审查办法(修订草案征求意见稿)》解读
10
划重点!《人民法院在线诉讼规则》正在施行中
相关推荐
《贵州省人力资源社会保障厅关于推动落实〈电子劳动合同订立指引〉有关工作的通知》政策解读
企业数字化转型,数据安全是关键!
划重点!《人民法院在线诉讼规则》正在施行中
《网络安全审查办法(修订草案征求意见稿)》解读
错误的证书信任关系,导致3000万台戴尔设备面临重大风险
“滴滴事件”敲响个人信息安全警钟
来啦!沪上首份《电子劳动合同操作指引》抢先出炉
网络钓鱼在2021年第一季度创新高
加州大学遭勒索软件攻击,隐私数据大规模泄漏
谷歌chrome90以HTTPS作为默认协议发布