共计 1144 个字符,预计需要花费 3 分钟才能阅读完成。
网络安全钻研人员披露了 TikTok 中一个当初曾经修补好的安全漏洞,这个破绽可能会让攻击者建设一个应用程序用户及其相干电话号码的数据库,以备将来歹意流动之需。
Check Point Research 在与 The Hacker 分享的一份剖析报告中说,只管这个破绽只会影响那些将电话号码与本人的账户分割起来或者登录到电话号码的用户,但胜利利用这个破绽可能会导致数据泄露和隐衷进犯。
依据 Check Point 钻研人员的负责任的披露,TikTok 曾经部署了一个补丁来解决这个破绽。
TikTok“查找好友”性能存在破绽
这个新发现的破绽存在于 TikTok 的“查找好友”性能中,该性能容许用户将他们的联系人与服务同步,以辨认潜在的关注对象。
联系人通过 HTTP 申请以列表的模式上传到 TikTok,该列表由联系人姓名和相应的电话号码组成。
下一步,应用程序收回第二个 HTTP 申请,检索连贯到前一个申请中发送的电话号码的 TikTok 配置文件。这个响应包含个人资料名称、电话号码、照片和其余与个人资料相干的信息。
尽管上传和同步联系人申请被限度在,每天每位用户和每台设施的联系人为 500 人,但 Check Point 钻研人员找到了一种办法来解决此限度,通过获取设施标识符,服务器设置的会话 Cookie,惟一应用 SMS 登录到帐户并在运行 Android 6.0.1 的模拟器中模仿整个过程时设置的称为“X-Tt-Token”的令牌。
值得注意的是,为了从 TikTok 应用程序服务器申请数据,HTTP 申请必须蕴含 X-Gorgon 和 X-Khronos 标头以进行服务器验证,以确保音讯不被篡改。
然而,通过批改 HTTP 申请(攻击者心愿同步的联系人数量),并用更新的音讯签名从新签名,该破绽使大规模上传和同步联系人的过程自动化成为可能,并创立了一个关联账户及其连贯电话号码的数据库。
TikTok 发动赏金我的项目,重大破绽发现者有机会取得 14800 美元
这曾经不是第一次发现风行的视频分享应用程序存在安全漏洞了。
2020 年 1 月,Check Point 的钻研人员发现了 TikTok 应用程序的多个破绽,这些破绽可能被用来获取用户账户并操纵其内容,包含删除视频、上传未经受权的视频、公开私人“暗藏”视频,以及泄露保留在账户上的个人信息。
去年四月份,平安研究员 Talal Haj Bakry 和 Tommy Mysk 揭发了 TikTok 的破绽,这些破绽使得攻击者能够通过重定向应用程序到一个假的服务器来显示伪造的视频,包含那些来自认证账户的视频。
最终,TikTok 在去年 10 月与 HackerOne 发动了一个 bug 处分合作项目,以帮忙用户或平安业余人员辨认与该平台无关的技术问题。依据该打算,重大破绽的发现者(CVSS 得分 9-10)有资格取得 6900 美元至 14800 美元的奖金。
