• 周五. 7月 15th, 2022

tiktok学习

海外短视频营销,助你获得全球流量!

TikTok Bug可以露出了用户的自个材料数据和电话号码

acad2018

7月 15, 2022

??网络平安研讨人

员周二宣告,

TikTok中存在一个现已修补的平安缝隙,该缝隙可以使进犯者可以树立该使用程序用户及其有关电话号码的数据库,以备将来进行歹意活动。尽管这个缝隙只影响那些将电话号码与其帐户联接或运用电话号码登录的用户,但成名使用该缝隙可致使使数据泄露和隐私侵略。

TikTok现已安设了一个批改程序来处置CheckPoint研讨人员在担任任地宣告信息之后呈现的缺陷。

新发现的bug存在于TikTok的“寻找兄弟”功用中,该功用答应用户将他们的联络人与该效能同步,以断定潜在的重视目标。

联络人以列表的方法经过HTTP恳求上载到TikTok,列表中包括单列的联络人名字和相应的电话号码。

鄙人一步中,使用程序将宣告第二个HTTP恳求,该恳求检索与上一个恳求中发送的电话号码联接的TikTok装备文件。此呼应包括自个材料称号、电话号码、相片和其他与自个材料有关的信息。

尽管上载和同步联络人恳求捆绑为每天、每个用户和每个设备500个联络人,但Check

Point研讨人员发现了一种绕过捆绑的办法,即获得设备标识符,即效能器设置的会话cookie,这是一种称为“X-Tt-token”的仅有令牌,在运用SMS登录帐户时设置,并仿照会话运转android6.0.1的仿照器的整个进程。

值得留心的是,为了从TikTok使用程序效能器恳求数据,HTTP恳求有必要包括X-Gorgon和X-Khronos头,以进行效能器验证,然后保证消息不会被篡改。

但经过批改HTTP恳求(进犯者期望同步的联络人数量)并运用更新的消息签名对其从头签名,该缝隙使得大规划上载和同步联络人的进程主动化,并创建联接帐户及其联接电话号码的数据库变成可以。

这远不是初度盛行的视频共享使用被发现存在平安缝隙。

2021年1月,Check Point研讨人员发现TikTok使用程序中存在多个缝隙,这些缝隙可以被使用来获取用户帐户并操作其内容,包括删去视频、上载未经授权的视频、揭露私家“躲藏”视频以及泄露保存在帐户上

的自个信息。

随后在本年4月,平安研讨人员塔拉勒·哈吉·巴克里(Talal Haj Bakry)和汤米·迈斯克(Tommy Mysk)戳穿了TikTok中的缝隙,经过将使用程序重定向到保管一组假视频的假效能器,进犯者有可以闪现编造的视频,包括来自已验证帐户的视频。

究竟,TikTok在上一年10月与HackerOne树立了一个bug赏金协作火伴联络,协助用户或平安专业人士符号平台的技能疑问。根据该方案,严峻缝隙(CVSS得分9-10)有资历获得6900美元至14800美元的抵偿。

CheckPoint产品缝隙研讨担任人Oded Vanunu说:“咱们这次的首要动机是探究TikTok的隐私。咱们极猎奇TikTok平台是不是可以用来获取私家用户数据。实际证明,答案是必定的,因为咱们可以绕过TikTok致使隐私侵略的多种维护机制。”

具有该等级活络信息的进犯者可以实施一系列歹意活动,如鱼叉式网络垂钓或其他违法行为。

发表评论

您的电子邮箱地址不会被公开。