TikTok 修復(fù) Check Point Research 發(fā)現(xiàn)的隱私安全問題
近幾個月來,Check Point Research 團(tuán)隊在 TikTok 移動應(yīng)用(抖音國際版)的“朋友查找”功能中發(fā)現(xiàn)了一個漏洞:該漏洞一旦被利用��,攻擊者便可以訪問用戶的個人資料信息以及帳戶相關(guān)聯(lián)的電話號碼�, 進(jìn)而建立相關(guān)數(shù)據(jù)庫,發(fā)起惡意活動��。
Check Point Research 已向 TikTok 的開發(fā)人員和安全團(tuán)隊通報此漏洞�,TikTok 負(fù)責(zé)任地部署了解決方案,以確保用戶可以繼續(xù)安全地使用應(yīng)用����。
背景
2020 年 1 月,Check Point Research 發(fā)表了一份有關(guān) TikTok 漏洞的報告���。報告稱該漏洞可使攻擊者訪問保存在用戶帳戶中的個人信息����,并操縱用戶帳戶信息或未經(jīng)授權(quán)地代表用戶執(zhí)行操作���。TikTok 主動負(fù)責(zé)任地部署了解決方案��。2020 年 4 月����,TikTok 啟動一項隱私漏洞獎勵計劃�,并于同年 10 月份與 HackerOne 就此建立全球性公共伙伴關(guān)系�����,鼓勵安全研究人員查找并負(fù)責(zé)任地披露安全漏洞��,以便 TikTok 團(tuán)隊及時消除漏洞風(fēng)險���,讓攻擊者無機(jī)可乘。
TikTok 用戶隱私受到威脅
由于Check Point Research 的主要目的是調(diào)查 TikTok 的隱私安全性���,團(tuán)隊將注意力放在了與用戶數(shù)據(jù)有關(guān)的所有應(yīng)用操作上���。為了方便參考,Check Point Research 密切關(guān)注并比對了 2019 年有關(guān) instagram 的一份報告�����,該報告證實(shí) instagram 存在可能導(dǎo)致用戶帳戶信息和電話泄露的安全問題����。 經(jīng)調(diào)查發(fā)現(xiàn)���,TikTok具有聯(lián)系人同步功能����,這意味著用戶可以同步手機(jī)中的聯(lián)系人,從而在 TikTok 上輕松找到可能認(rèn)識的人����。簡而言之,這可以將用戶的個人資料信息關(guān)聯(lián)到他們的電話號碼�����。如果被利用����,此漏洞將會影響那些選擇將電話號碼與帳戶關(guān)聯(lián)(并非強(qiáng)制要求)或使用電話號碼登錄的用戶。
攻擊者可以通過這些電話號碼和個人資料信息獲取用戶在 TikTok 以外的更多信息�����,比如搜索其他帳戶或可用數(shù)據(jù)����。
Check Point Research采用三步法深入研究了正在調(diào)查的操作:
- 第一步 — 創(chuàng)建設(shè)備列表(注冊物理設(shè)備)。每次啟動時����,TikTok 應(yīng)用都會執(zhí)行設(shè)備注冊程序�����,以確保用戶未切換設(shè)備。
- 第二步 — 創(chuàng)建有效期為 60 天的會話令牌列表���。在移動設(shè)備的短信登錄過程中,TikTok 服務(wù)器通過生成令牌和會話 cookie 來驗證數(shù)據(jù)����。研究期間我們發(fā)現(xiàn)會話 cookie 和令牌數(shù)值在 60 天后過期��,這意味著我們可以使用同一 cookie 登錄數(shù)周���。
- 第三步 — 繞過 TikTok 的 HTTP 消息簽名�����。我們提出的主要研究問題是:用戶能否查詢 TikTok 數(shù)據(jù)庫并因此導(dǎo)致隱私受到侵犯? 答案是肯定的:我們發(fā)現(xiàn)攻擊者可以通過繞過 TikTok 的 HTTP 消息簽名來操縱登錄過程,從而自動大規(guī)模上載和同步聯(lián)系人��,最終建立一個用戶信息及其電話號碼數(shù)據(jù)庫��,以待隨時發(fā)起攻擊�。
結(jié)語
報告指出����,TikTok 每月用戶增加 1 億,全球下載量已超過 20 億�����,其規(guī)模自 2018 年以來幾近翻到三倍��。 據(jù)移動數(shù)據(jù)和分析公司 App Annie 預(yù)測�����,2012 年 TikTok 不僅將加入 Facebook�����、instagram�、Messenger���、WhatsApp���、YouTube 和微信 10 億月活用戶 (MAU) 的行列,而且還將突破這一大關(guān)��,達(dá)到平均每月 12 億活躍用戶�。
這種驚人的受歡迎程序加上有關(guān)該應(yīng)用隱私安全問題的持續(xù)報告���,是推動Check Point Research 執(zhí)行這項隱私安全研究的重要因素。 我們很高興能夠與 TikTok 團(tuán)隊攜手解決這些問題�,為用戶享受安全有趣的使用體驗貢獻(xiàn)力量����。
本文題目:TikTok 修復(fù) Check Point Research 發(fā)現(xiàn)的隱私安全問題
分享URL:
http://uogjgqi.cn/article/dhdpdch.html
掃二維碼與項目經(jīng)理溝通
我們在微信上24小時期待你的聲音
解答本文疑問/技術(shù)咨詢/運(yùn)營咨詢/技術(shù)建議/互聯(lián)網(wǎng)交流
