站长之家- 传媒 2021-01-28T10:48:49 +08:00

TikTok 修复 Check Point Research 发现的隐私安全问题   

      近几个月来,Check Point Research 团队在 TikTok 移动应用(抖音国际版)的“朋友查找”功能中发现了一个漏洞:该漏洞一旦被利用,攻击者便可以访问用户的个人资料信息以及帐户相关联的电话号码, 进而建立相关数据库,发起恶意活动。

  Check Point Research 已向 TikTok 的开发人员和安全团队通报此漏洞,TikTok 负责任地部署了解决方案,以确保用户可以继续安全地使用应用。

  背景

  2020 年 1 月,Check Point Research 发表 了一份有关 TikTok 漏洞的报告。报告称该漏洞可使攻击者访问保存在用户帐户中的个人信息,并操纵用户帐户信息或未经授权地代表用户执行操作。TikTok 主动负责任地部署了解决方案。2020 年 4 月,TikTok 启动一项隐私漏洞奖励计划,并于同年 10 月份与 HackerOne 就此建立全球性公共伙伴关系,鼓励安全研究人员查找并负责任地披露安全漏洞,以便 TikTok 团队及时消除漏洞风险,让攻击者无机可乘。

  TikTok 用户隐私受到威胁

  由于Check Point Research 的主要目的是调查 TikTok 的隐私安全性,团队将注意力放在了与用户数据有关的所有应用操作上。为了方便参考,Check Point Research 密切关注并比对了 2019 年有关 Instagram 的一份 报告 ,该报告证实 Instagram 存在可能导致用户帐户信息和电话泄露的安全问题。 经调查发现,TikTok具有联系人同步功能,这意味着用户可以同步手机中的联系人,从而在 TikTok 上轻松找到可能认识的人。简而言之,这可以将用户的个人资料信息关联到他们的电话号码。如果被利用,此漏洞将会影响那些选择将电话号码与帐户关联(并非强制要求)或使用电话号码登录的用户。

  攻击者可以通过这些电话号码和个人资料信息获取用户在 TikTok 以外的更多信息,比如搜索其他帐户或可用数据。

  Check Point Research采用三步法深入研究了正在调查的操作:

  第一步 — 创建设备列表(注册物理设备)。每次启动时,TikTok 应用都会执行设备注册程序,以确保用户未切换设备。

  第二步 — 创建有效期为 60 天的会话令牌列表。在移动设备的短信登录过程中,TikTok 服务器通过生成令牌和会话 cookie 来验证数据。研究期间我们发现会话 cookie 和令牌数值在 60 天后过期,这意味着我们可以使用同一 cookie 登录数周。

  第三步 — 绕过 TikTok 的 HTTP 消息签名。我们提出的主要研究问题是:用户能否查询 TikTok 数据库并因此导致隐私受到侵犯? 答案是肯定的:我们发现攻击者可以通过绕过 TikTok 的 HTTP 消息签名来操纵登录过程,从而自动大规模上载和同步联系人,最终建立一个用户信息及其电话号码数据库,以待随时发起攻击。

  结语

  报告指出,TikTok 每月用户增加 1 亿,全球下载量已超过 20 亿,其规模自 2018 年以来几近翻到三倍。 据移动数据和分析公司 App Annie 预测,2012 年 TikTok 不仅将加入 Facebook 、 Instagram、Messenger、WhatsApp、YouTube 和微信 10 亿月活用户 (MAU) 的行列,而且还将突破这一大关,达到平均每月 12 亿活跃用户。

  这种惊人的受欢迎程序加上有关该应用隐私安全问题的持续 报告 ,是推动Check Point Research 执行这项隐私安全研究的重要因素。 我们很高兴能够与 TikTok 团队携手解决这些问题,为用户享受安全有趣的使用体验贡献力量。

推荐关键词

24小时热搜

查看更多内容

大家正在看

tiktok是哪国的软件 tiktok和抖音是一个公司吗

tiktok是中国发明的吗 tiktok开发公司是哪家

TiKToK为啥这么猛?

字节跳动倾向于将TikTok分拆独立 TikTok消息动态

TikTok粉丝给特朗普竞选App刷差评 TikTok消息动态

英媒:为什么伦敦应该欢迎TikTok?

谷歌否认计划收购TikTok 苹果也对收购TikTok不感兴趣

抖音申请“TIKTOK”商标被驳回

美国:忙着处理TikTok 没有对阿里下手

印度法院决定解除对TikTok的禁令

Nativex剖析TikTok出海营销的机遇怎么抓