不久前,TikTok被发现存在两个安全漏洞。账号,一键轻松接管账号。总部位于北京的字节跳动拥有的社交媒体平台通常用于分享3到60秒的短循环手机视频。据GooglePlay商店官方统计,目前TikTok安卓应用的安装量已超过10亿次。据SensorTowerStoreIntelligence预估,到2020年4月,移动平台全网安装量将突破20亿大关。通过模糊测试发现德国漏洞赏金猎人MuhammedTaskiran在TikTokURL参数中发现了一个反射型跨站点脚本(XSS)安全漏洞,也称为非持久性XSS,该参数反映了未正确清理的值。Taskiran发现反射XSS也可能导致数据泄露,同时对公司的www.tiktok.com和m.tiktok.com域进行模糊测试。他还发现TikTok的一个API端点容易受到跨站点请求伪造(CSRF)攻击,这种攻击可能会更改通过第三方应用程序注册的用户的帐户密码。“这个端点使我能够为在第三方应用程序中注册的帐户设置新密码,”Taskiran说。“我通过构建一个简单的JavaScript有效负载(触发CSRF)并利用将其注入易受攻击的URL参数来将这两个漏洞结合起来以存档“一键帐户接管”。Taskiran于2020年8月26日向TikTok报告了帐户接管攻击链,字节跳动解决了这些问题并于9月18日发布。漏洞猎人今天获得了3,860美元的赏金。字节跳动去年修复了更多的帐户劫持漏洞。TikTok还解决了其基础设施中存在一系列安全漏洞,阻止潜在攻击者通过劫持账户来操纵用户。可能会窃取视频并窃取他们的信息。CheckPoint研究人员于2019年11月下旬向字节跳动披露了安全问题,字节跳动修复了这些漏洞一个月内。攻击者可以利用TikTok的短信系统利用这些漏洞上传未经授权的视频或删除视频,将用户的视频从私人设备传输到公共场所,窃取敏感的个人数据。“TikTok致力于保护用户数据,”TikTok安全工程师LukeDeshotels说。“与许多组织一样,我们鼓励负责任的安全研究人员私下向我们披露0day漏洞。”塞尔吉乌·加特兰(SergiuGatlan)2020-11-2306:28本文翻译自:https://www.bleepingcomputer.com/news/security/tiktok-fixes-bugs-allowing-account-takeover-with-one-点击/注明原文地址。
