TikTok 被曝安全漏洞，發(fā)起賞金計(jì)劃最高可得近 10 萬元獎(jiǎng)金

編譯：芒果果丨發(fā)自 思否編輯部

網(wǎng)絡(luò)安全研究人員披露了 TikTok 中一個(gè)現(xiàn)在已經(jīng)修補(bǔ)好的安全漏洞，這個(gè)漏洞可能會(huì)讓攻擊者建立一個(gè)應(yīng)用程序用戶及其相關(guān)電話號(hào)碼的數(shù)據(jù)庫，以備未來惡意活動(dòng)之需。

Check Point Research 在與 The Hacker 分享的一份分析報(bào)告中說，盡管這個(gè)漏洞只會(huì)影響那些將電話號(hào)碼與自己的賬戶聯(lián)系起來或者登錄到電話號(hào)碼的用戶，但成功利用這個(gè)漏洞可能會(huì)導(dǎo)致數(shù)據(jù)泄露和隱私侵犯。

根據(jù) Check Point 研究人員的負(fù)責(zé)任的披露，TikTok 已經(jīng)部署了一個(gè)補(bǔ)丁來解決這個(gè)漏洞。

TikTok“查找好友”功能存在漏洞

這個(gè)新發(fā)現(xiàn)的漏洞存在于 TikTok 的“查找好友”功能中，該功能允許用戶將他們的聯(lián)系人與服務(wù)同步，以識(shí)別潛在的關(guān)注對象。

聯(lián)系人通過 HTTP 請求以列表的形式上傳到 TikTok，該列表由聯(lián)系人姓名和相應(yīng)的電話號(hào)碼組成。

下一步，應(yīng)用程序發(fā)出第二個(gè) HTTP 請求，檢索連接到前一個(gè)請求中發(fā)送的電話號(hào)碼的 TikTok 配置文件。這個(gè)響應(yīng)包括個(gè)人資料名稱、電話號(hào)碼、照片和其他與個(gè)人資料相關(guān)的信息。

雖然上傳和同步聯(lián)系人請求被限制在，每天每位用戶和每臺(tái)設(shè)備的聯(lián)系人為 500 人，但 Check Point 研究人員找到了一種方法來解決此限制，通過獲取設(shè)備標(biāo)識(shí)符，服務(wù)器設(shè)置的會(huì)話 Cookie，唯一使用 SMS 登錄到帳戶并在運(yùn)行 Android 6.0.1 的模擬器中模擬整個(gè)過程時(shí)設(shè)置的稱為“ X-Tt-Token”的令牌。

值得注意的是，為了從 TikTok 應(yīng)用程序服務(wù)器請求數(shù)據(jù)，HTTP 請求必須包含 X-Gorgon 和 X-Khronos 標(biāo)頭以進(jìn)行服務(wù)器驗(yàn)證，以確保消息不被篡改。

但是，通過修改 HTTP 請求（攻擊者希望同步的聯(lián)系人數(shù)量），并用更新的消息簽名重新簽名，該漏洞使大規(guī)模上傳和同步聯(lián)系人的過程自動(dòng)化成為可能，并創(chuàng)建了一個(gè)關(guān)聯(lián)賬戶及其連接電話號(hào)碼的數(shù)據(jù)庫。

TikTok 發(fā)起賞金項(xiàng)目，重大漏洞發(fā)現(xiàn)者有機(jī)會(huì)獲得 14800 美元

這已經(jīng)不是第一次發(fā)現(xiàn)流行的視頻分享應(yīng)用程序存在安全漏洞了。

2020 年 1 月，Check Point 的研究人員發(fā)現(xiàn)了 TikTok 應(yīng)用程序的多個(gè)漏洞，這些漏洞可能被用來獲取用戶賬戶并操縱其內(nèi)容，包括刪除視頻、上傳未經(jīng)授權(quán)的視頻、公開私人“隱藏”視頻，以及泄露保存在賬戶上的個(gè)人信息。

去年四月份，安全研究員 Talal Haj Bakry 和 Tommy Mysk 揭露了 TikTok 的漏洞，這些漏洞使得攻擊者可以通過重定向應(yīng)用程序到一個(gè)假的服務(wù)器來顯示偽造的視頻，包括那些來自認(rèn)證賬戶的視頻。

最終，TikTok 在去年 10 月與 HackerOne 發(fā)起了一個(gè) bug 獎(jiǎng)勵(lì)合作項(xiàng)目，以幫助用戶或安全專業(yè)人員識(shí)別與該平臺(tái)有關(guān)的技術(shù)問題。根據(jù)該計(jì)劃，重大漏洞的發(fā)現(xiàn)者（CVSS 得分 9-10）有資格獲得 6900 美元至 14800 美元的獎(jiǎng)金。

此文是翻譯，閱讀原文：

https://thehackernews.com/2021/01/tiktok-bug-could-have-exposed-users.html