首页 科技资讯 网络

TikTok修复Check Point Research发现的隐私安全问题

近几个月来,Check Point Research团队在TikTok移动应用(抖音国际版)的“朋友查找”功能中发现了一个漏洞:该漏洞一旦被利用,攻击者便可以访问用户的个人资料信息以及帐户相关联的电话号码,进而建立相关数据库,发起恶意活动。

Check Point Research已向TikTok的开发人员和安全团队通报此漏洞,TikTok负责任地部署了解决方案,以确保用户可以继续安全地使用应用。

背景

2020年1月,Check Point Research发表了一份有关TikTok漏洞的报告。报告称该漏洞可使攻击者访问保存在用户帐户中的个人信息,并操纵用户帐户信息或未经授权地代表用户执行操作。TikTok主动负责任地部署了解决方案。2020年4月,TikTok启动一项隐私漏洞奖励计划,并于同年10月份与HackerOne就此建立全球性公共伙伴关系,鼓励安全研究人员查找并负责任地披露安全漏洞,以便TikTok团队及时消除漏洞风险,让攻击者无机可乘。

TikTok用户隐私受到威胁

由于Check Point Research的主要目的是调查TikTok的隐私安全性,团队将注意力放在了与用户数据有关的所有应用操作上。为了方便参考,Check Point Research密切关注并比对了2019年有关Instagram的一份报告,该报告证实Instagram存在可能导致用户帐户信息和电话泄露的安全问题。经调查发现,TikTok具有联系人同步功能,这意味着用户可以同步手机中的联系人,从而在TikTok上轻松找到可能认识的人。简而言之,这可以将用户的个人资料信息关联到他们的电话号码。如果被利用,此漏洞将会影响那些选择将电话号码与帐户关联(并非强制要求)或使用电话号码登录的用户。

攻击者可以通过这些电话号码和个人资料信息获取用户在TikTok以外的更多信息,比如搜索其他帐户或可用数据。

Check Point Research采用三步法深入研究了正在调查的操作:

第一步—创建设备列表(注册物理设备)。每次启动时,TikTok应用都会执行设备注册程序,以确保用户未切换设备。

第二步—创建有效期为60天的会话令牌列表。在移动设备的短信登录过程中,TikTok服务器通过生成令牌和会话cookie来验证数据。研究期间我们发现会话cookie和令牌数值在60天后过期,这意味着我们可以使用同一cookie登录数周。

第三步—绕过TikTok的HTTP消息签名。我们提出的主要研究问题是:用户能否查询TikTok数据库并因此导致隐私受到侵犯?答案是肯定的:我们发现攻击者可以通过绕过TikTok的HTTP消息签名来操纵登录过程,从而自动大规模上载和同步联系人,最终建立一个用户信息及其电话号码数据库,以待随时发起攻击。

结语

报告指出,TikTok每月用户增加1亿,全球下载量已超过20亿,其规模自2018年以来几近翻到三倍。据移动数据和分析公司App Annie预测,2012年TikTok不仅将加入Facebook、Instagram、Messenger、WhatsApp、YouTube和微信10亿月活用户(MAU)的行列,而且还将突破这一大关,达到平均每月12亿活跃用户。

这种惊人的受欢迎程序加上有关该应用隐私安全问题的持续报告,是推动Check Point Research执行这项隐私安全研究的重要因素。我们很高兴能够与TikTok团队携手解决这些问题,为用户享受安全有趣的使用体验贡献力量。

官方微博/微信

每日头条、业界资讯、热点资讯、八卦爆料,全天跟踪微博播报。各种爆料、内幕、花边、资讯一网打尽。百万互联网粉丝互动参与,TechWeb官方微博期待您的关注。

↑扫描二维码

想在手机上看科技资讯和科技八卦吗?

想第一时间看独家爆料和深度报道吗?

请关注TechWeb官方微信公众帐号:

1.用手机扫左侧二维码;

2.在添加朋友里,搜索关注TechWeb。

手机游戏更多