CheckPointResearch团队最近几个月发现了TikTok移动应用程序(抖音国际版)的“FriendFinder”功能中的一个漏洞:利用该漏洞允许攻击者访问与帐户关联的用户个人资料信息和电话号码,然后建立相关数据库以发起恶意活动。CheckPointResearch将此漏洞通知了TikTok的开发人员和安全团队,TikTok负责任地部署了解决方案,以确保用户可以继续安全地使用该应用程序。背景2020年1月,CheckPointResearch发布了一份关于TikTok漏洞的报告。报告称,该漏洞可能允许攻击者访问存储在用户帐户中的个人信息并操纵用户帐户信息或代表用户执行未经授权的操作。TikTok主动负责地部署了该解决方案。2020年4月,TikTok推出隐私漏洞奖励计划,并于同年10月与HackerOne建立全球公共合作伙伴关系,鼓励安全研究人员发现并负责任地披露安全漏洞,以便TikTok团队及时消除漏洞风险方式。让攻击者无用。TikTok用户隐私面临风险由于CheckPointResearch的主要目的是调查TikTok的隐私安全,该团队将重点放在与用户数据相关的所有应用程序操作上。为了便于参考,CheckPointResearch密切关注并对比了一份2019年关于instagram的报告,该报告证实instagram存在安全问题,可能导致用户账户信息和电话泄露。经查,发现抖音有联系人同步功能,也就是说用户可以同步手机中的联系人,方便在抖音上轻松找到自己可能认识的人。简而言之,这会将用户的个人资料信息链接到他们的电话号码。如果被利用,该漏洞将影响选择将电话号码与其帐户相关联(非必需)或使用电话号码登录的用户。攻击者可以使用这些电话号码和个人资料信息来获取有关TikTok以外用户的更多信息,例如搜索其他帐户或可用数据。CheckPointResearch采用三步法深入挖掘被调查的操作:第1步—创建设备列表(注册物理设备)。TikTok应用程序每次启动时都会进行设备注册过程,以确保用户没有切换设备。第二步——创建有效期为60天的会话令牌列表。在移动设备上的SMS登录过程中,TikTok服务器通过生成令牌和会话cookie来验证数据。在我们的研究中,我们发现会话cookie和令牌值会在60天后过期,这意味着我们可以使用同一个cookie登录数周。第3步—绕过TikTok的HTTP消息签名。我们提出的主要研究问题是:用户是否可以查询TikTok数据库从而导致隐私侵犯?答案是肯定的:我们发现攻击者可以通过绕过TikTok的HTTP消息签名来操纵登录过程,实现自动批量上传和同步联系人,并最终建立一个用户信息及其电话号码的数据库,随时准备发动攻击。结语报告指出,TikTok每月新增1亿用户,其全球下载量已超过20亿,自2018年以来规模增长近两倍。移动数据和分析公司AppAnnie预测,2012年TikTok不仅会加入Facebook、Instagram、Messenger、WhatsApp、YouTube和微信月活跃用户(MAU)达到10亿,但将突破这一大关,平均每月达到10亿月活跃用户(MAU)。每月12亿活跃用户。这个非常受欢迎的程序,加上有关该应用程序隐私问题的持续报告,是促使CheckPointResearch进行这项隐私安全研究的重要因素。我们很高兴与TikTok团队合作解决这些问题,并为用户提供安全有趣的体验。
