网络安全研究人员周二披露,TikTok中存在一个现已修补的安全漏洞,该漏洞可能使攻击者能够建立该应用程序用户及其相关电话号码的数据库,以备将来进行恶意活动。尽管这个漏洞只影响那些将电话号码与其帐户链接或使用电话号码登录的用户,但成功利用该漏洞可能导致数据泄露和隐私侵犯。
TikTok已经部署了一个修复程序来解决CheckPoint研究人员在负责任地披露信息之后出现的缺陷。
新发现的bug存在于TikTok的“寻找朋友”功能中,该功能允许用户将他们的联系人与该服务同步,以确定潜在的关注对象。
联系人以列表的形式通过HTTP请求上传到TikTok,列表中包含散列的联系人姓名和相应的电话号码。
在下一步中,应用程序将发出第二个HTTP请求,该请求检索与上一个请求中发送的电话号码连接的TikTok配置文件。此响应包括个人资料名称、电话号码、照片和其他与个人资料相关的信息。
尽管上传和同步联系人请求限制为每天、每个用户和每个设备500个联系人,但Check Point研究人员发现了一种绕过限制的方法,即获得设备标识符,即服务器设置的会话cookie,这是一种称为“X-Tt-token”的唯一令牌,在使用SMS登录帐户时设置,并模拟会话运行android6.0.1的模拟器的整个过程。
值得注意的是,为了从TikTok应用程序服务器请求数据,HTTP请求必须包含X-Gorgon和X-Khronos头,以进行服务器验证,从而确保消息不会被篡改。
但通过修改HTTP请求(攻击者希望同步的联系人数量)并使用更新的消息签名对其重新签名,该漏洞使得大规模上传和同步联系人的过程自动化,并创建链接帐户及其连接电话号码的数据库成为可能。
这远不是第一次流行的视频分享应用被发现存在安全漏洞。
2020年1月,Check Point研究人员发现TikTok应用程序中存在多个漏洞,这些漏洞可能被利用来获取用户帐户并操纵其内容,包括删除视频、上传未经授权的视频、公开私人“隐藏”视频以及泄露保存在帐户上的个人信息。
随后在今年4月,安全研究人员塔拉勒·哈吉·巴克里(Talal Haj Bakry)和汤米·迈斯克(Tommy Mysk)揭露了TikTok中的漏洞,通过将应用程序重定向到托管一组假视频的假服务器,攻击者有可能显示伪造的视频,包括来自已验证帐户的视频。
最终,TikTok在去年10月与HackerOne建立了一个bug赏金合作伙伴关系,帮助用户或安全专业人士标记平台的技术问题。根据该计划,严重漏洞(CVSS得分9-10)有资格获得6900美元至14800美元的赔偿。
CheckPoint产品漏洞研究负责人Oded Vanunu说:“我们这次的主要动机是探索TikTok的隐私。我们很好奇TikTok平台是否可以用来获取私人用户数据。事实证明,答案是肯定的,因为我们能够绕过TikTok导致隐私侵犯的多种保护机制。”
具有该级别敏感信息的攻击者可以执行一系列恶意活动,如鱼叉式网络钓鱼或其他犯罪行为。
【参考来源:thehackernews】
