近几个月来,Check Point Research 团队在 TikTok 移动应用(抖音国际版)“朋友查找”在功能中发现了一个漏洞:一旦使用,攻击者可以访问用户的个人信息和与账户相关的电话号码,然后建立相关数据库并启动恶意活动。
Check Point Research 已向 TikTok 开发人员和安全团队报告了这个漏洞,TikTok 负责部署解决方案,确保用户能够继续安全使用应用程序。
背景
2020 年 1 月,Check Point Research 发表了一份关于 的文件TikTok 漏洞报告。报告称,该漏洞允许攻击者访问保存在用户账户中的个人信息,并操纵用户账户信息或未经授权代表用户执行操作。TikTok 主动负责地部署解决方案。2020年4月 ,TikTok 同年10月启动隐私漏洞奖励计划和 HackerOne 建立全球公共伙伴关系,鼓励安全研究人员发现并负责任地披露安全漏洞,以便 TikTok 团队及时消除漏洞风险,使攻击者无机可乘。
TikTok 用户隐私受到威胁
由于Check Point Research 的主要目的是调查 TikTok 隐私安全,团队关注所有与用户数据相关的应用程序。为便于参考,Check Point Research 2019年密切关注的密切关注和比较instagram 的报告证实了 instagram 存在可能导致用户账户信息和电话泄露的安全问题。 经调查发现,TikTok具有联系人同步功能,这意味着用户可以在手机中同步联系人,从而在 TikTok 很容易找到你可能认识的人。简而言之,它可以将用户的个人信息与他们的电话号码相关联。如果使用,这个漏洞将影响那些选择将电话号码与账户相关(不是强制性的)或使用电话号码登录的用户。
攻击者可以通过这些电话号码和个人信息获取用户TikTok 以外的更多信息,如搜索其他帐户或可用数据。
Check Point Research对正在调查的操作进行了深入研究:
- 第一步 — 创建设备列表(注册物理设备)。每次启动,TikTok 应用程序将执行设备注册程序,以确保用户不切换设备。
- 第二步 — 创建有效期为 60 天的会话令牌列表。在移动设备短信登录过程中,TikTok通过生成令牌和会话 cookie 验证数据。在研究过程中,我们发现会话 cookie 和令牌值在 60 天后过期,这意味着我们可以使用相同的 cookie 登录几周。
- 第三步 — 绕过 TikTok 的 HTTP 新闻签名。我们提出的主要研究问题是用户能否查询 TikTok 数据库侵犯隐私的答案是肯定的:我们发现攻击者可以绕过 TikTok 的 HTTP 信息签名操纵登录过程,自动大规模上载和同步联系人,最终建立用户信息和电话号码数据库,随时发起攻击。
结语
报告指出,TikTok 用户每月增加 1亿,全球下载量超过 20 1亿,自2018 以来几乎翻了三倍。根据移动数据和分析公司 App Annie 预测2012年 TikTok 不仅会加入 Facebook、instagram、Messenger、WhatsApp、YouTube (MAU) 行列,还将突破这一大关,实现平均每月12 活跃用户。
这种惊人的流行程序加上应用隐私安全问题的持续报告,是为了促进Check Point Research 实施这项隐私安全研究的重要因素。 我们很高兴与 合作TikTok 团队共同解决这些问题,为用户享受安全有趣的使用体验做出贡献。