TikTok漏洞导致数据和隐私泄露

CheckPoint研究人员在TikTok中发现了一个安全漏洞。攻击者可以利用该漏洞窃取用户的个人资料和绑定的手机号码进行进一步的攻击。1月26日，CheckPoint研究人员发表文章，声称在TikTok移动客户端的好友查找功能中发现了一个安全漏洞。攻击者可以利用此漏洞将个人资料信息与手机号码相关联。攻击者可以成功利用此漏洞创建用户和相关手机号码的数据库。该漏洞影响已绑定手机号或使用手机号登录的用户。抖音手机客户端SyncingContacts联系人同步功能允许联系人同步，也就是说用户可以同步联系人，方便找到注册抖音的好友。同步过程包括2个请求：上传联系人；同步通讯录。对于用户地址簿中的每个联系人，TikTok都会构建一个包含以下3个属性的JSON：Invited–“False”。名称——使用SHA256算法进行哈希处理；电话号码–使用SHA256算法值进行哈希处理。添加JSON到列表中继续上传联系人：TikTok使用HTTP请求到https://api16-normal-c-alisg.tiktokv.com/aweme/v1/upload/hashcontacts来上传联系人。联系人在联系人参数中作为JSON列表发送。例如单个联系人如下：姓名：TestingTester手机号：+972555555555抖音会发送如下JSON列表作为contact参数的值：上传联系人到抖音服务器的完整HTTP请求如下：同步联系人上传联系人请求完成后，抖音手机客户端会发送同步同步请求，提取所发送手机号关联的所有个人资料。发送到https://api16-normal-c-alisg.tiktokv.com/aweme/v1/social/friend的HTTP请求如下：应用服务器响应配置文件列表、哈希手机号码、个人姓名、唯一ID、个人资料照片、个人资料特征等。将上传和同步联系人请求限制为每天、每位用户和每台设备500次。研究问题查询TikTok数据库的单个用户是否会引发隐私问题？(1)Step1–创建设备列表（注册物理设备）每次启动后，TikTok手机客户端都会进行一次设备注册过程，以保证用户不在设备间切换。设备注册的过程是通过https://log-va.tiktokv.com/service/2/device_register的请求完成的：根据HTTP请求中发送的数据，应用服务器会生成一个唯一的device_idtoken。此令牌是强制性的，随应用程序生成的每个API请求一起发送到应用程序服务器。(2)第2步–创建一个未过期的会话令牌列表通过SMS登录只能通过物理设备完成，方法是发送到https://api16-normal-c-alisg.tiktokv.com/passport/mobile/sms_login_only通过HTTP请求实现。请求的正文部分包含用手机号码和一次性验证码编码的参数。服务器将验证数据并生成唯一的X-Tt-Token令牌。此外，服务器设置会话cookie。研究人员分析发现，sessioncookie和X-Tt-Token值的过期时间为60天，这意味着8周内使用的cookie是相同的。TikTokHTTP消息签名研究人员捕获了TikTok的HTTP请求，发现TikTok移动客户端利用消息签名机制允许语法攻击者修改消息和请求的body部分。消息签名机制要求服务器验证X-Gorgon和X-Khronosheader，否则无法请求数据。(3)Step3–绕过TikTokHTTP消息签名有了device_id和X-Tt-Tokentoken，以及2个月不会过期的cookie后，就可以用虚拟设备代替真实的物理设备了。研究人员使用了运行Android6.0.1的Genymotion模拟器，测试表上安装了TikTok手机客户端。研究人员动态分析发现，TikTok手机客户端会在后台执行消息签名服务。签名服务是com.bytedance.frameworks.baselib.network.http包的一部分。签名过程逐个方法开始：攻击者可以使用动态分析框架（如Frida）挂钩函数，修改函数的参数数据，然后重新对请求进行签名。因此，攻击者可以使用此服务对修改后的请求进行签名，创建更新的X-Gorgon和X-Khronos标头值，并将修改后的请求发送到TikTok应用服务器。有了以上能力，PoC就可以修改HTTP请求并重新签署请求。研究人员编写了一个Frida脚本来自动重签消息，如下：启动HTTP服务器并监听4000端口：分析HTTPPOST请求并提取请求签名的数据：使用上述方法重签修改后的请求：返回更新后的X-Gorgon和X-Khronos签名：攻击的最终结果可以获得包含账号和手机号的数据库，造成数据和隐私泄露。本文翻译自：https://research.checkpoint.com/2021/tiktok-fixes-privacy-issue-discovered-by-check-point-research/【责任编辑：赵宁宁TEL：（010）68476606】