研究人员表明,尽管该漏洞仅影响将电话号码与账户链接,或使用电话号码登录的用户,但成功利用此漏洞可能会导致数据泄漏和隐私侵犯。
TikTok已经部署了相应的补丁程序,以修复Check Point研究人员的所披露的漏洞。
新发现的漏洞存在于TikTok的“寻找朋友”功能中,该功能允许用户将他们的联系人与服务同步,以识别潜在的关注对象。
联系人将以列表的形式通过HTTP请求上传到TikTok,列表中包含联系人姓名的哈希值和对应的电话号码。
之后,该应用程序将发送第二个HTTP请求,该请求将检索与上一个请求中发送的电话号码连接的TikTok配置文件。该响应包括个人资料名称、电话号码、照片和其他与个人资料相关的信息。
虽然每天、每个用户在每个设备上,最多只能上传和同步500个联系人,但Check Point研究人员发现了一种绕过该限制的方法。即掌握设备标识符,即服务器设置的会话cookie,也就是使用SMS登录到账户,并在运行Android 6.0.1的模拟器中模拟整个过程时,设置的唯一令牌“X-Tt-Token”。
值得注意的是,为了从TikTok应用程序服务器中请求数据,HTTP请求中必须包含X-Gorgon和X-Khronos标头,以进行服务器验证,从而确保消息不被篡改。
但是攻击者可以通过修改HTTP请求,自定义其想要同步的联系人数量,然后使用更新后的消息签名对其重新签名,从而使大规模上传和同步联系人的过程自动化,并创建链接账户及对应电话号码的数据库。
这已经不是研究人员第一次在TikTok应用程序中发现漏洞了。
2020年1月,Check Point研究人员在TikTok应用程序中发现了多个漏洞,这些漏洞可能被用来获取用户账户并进行操控,包括视频删除、上传未经授权的视频、公开私人“隐藏”视频,以及泄露保存在账户中的个人信息。
2020年4月,安全研究人员Talal Haj Bakry和Tommy Mysk披露了TikTok中的漏洞,成功利用这些漏洞,攻击者可以将应用程序重定向到托管假视频集的假服务器来显示伪造视频,包括来自已验证账户的视频。
最终,在2020年10月,TikTok与HackerOne建立了漏洞赏金合作伙伴关系,以帮助用户或安全专家指出该平台的技术问题。根据该计划,严重漏洞(CVSS评分9-10)有资格获得6900美元到14800美元的漏洞赏金。
END
文章转载自微信公众号SecTr安全团队
- 上一篇: 抖音成2021年央视春晚独家互动合作伙伴,当晚分12亿元红包
- 下一篇: 抖音热门头像推荐1月27日