外媒:TikTok Bug可能暴露了用户的个人资料数据和电话号码


来源:hackernews    2021-1-27 9:29

网络安全研究人员周二披露了TikTok中现已修复的安全漏洞,该漏洞可能使攻击者能够建立该应用程序的用户及其关联电话号码的数据库,以用于将来的恶意活动。

Check Point Research在与The Hacker分享的一份分析报告中说,虽然此缺陷仅影响那些将电话号码与他们的帐户关联或使用电话号码登录的用户,但成功利用此漏洞可能会导致数据泄漏和侵犯隐私。

TikTok已部署了修复程序,以解决Check Point研究人员的负责任披露后的缺点。

新发现的错误位于TikTok的“查找朋友”功能中,该功能使用户可以将他们的联系人与服务同步,以识别潜在的关注对象。

联系人通过HTTP请求以列表的形式上载到TikTok,该列表由哈希的联系人姓名和相应的电话号码组成。

下一步,该应用程序将发送第二个HTTP请求,该请求将检索与上一个请求中发送的电话号码相关的TikTok配置文件。该响应包括个人资料名称,电话号码,照片和其他与个人资料相关的信息。

网络安全研究人员周二披露了TikTok中现已修复的安全漏洞

尽管上传和同步联系人请求每天,每位用户和每台设备的联系人限制为500个联系人,但Check Point研究人员找到了一种方法来解决此限制,方法是掌握设备标识符,服务器设置的会话Cookie,唯一使用SMS登录到帐户并在运行Android 6.0.1的模拟器中模拟整个过程时设置的称为“X-Tt-Token”的令牌。

值得注意的是,为了从TikTok应用程序服务器请求数据,HTTP请求必须包含X-Gorgon和X-Khronos标头以进行服务器验证,以确保消息不被篡改。

但是通过修改HTTP请求(攻击者想要同步的联系人数量)并使用更新的消息签名重新签名,该缺陷使得可以自动进行大规模上载和同步联系人的过程,并创建数据库关联帐户及其连接的电话号码。

这并不是第一次发现流行的视频共享应用程序包含安全漏洞。

关于本站联系我们手机版
Copyright © 2021 安知讯 粤ICP备11061396号 粤公网安备 44030602001878号