前不久,TikTok被發(fā)現(xiàn)存在兩個(gè)安全漏洞,攻擊者將兩個(gè)漏洞結(jié)合后,如果是通過(guò)第三方應(yīng)用程序注冊(cè)的賬戶,只需要單擊一下就可以輕松接管賬戶。
總部位于北京的字節(jié)跳動(dòng)公司(ByteDance)旗下的社交媒體平臺(tái)一般被大家用于分享3到60秒簡(jiǎn)短的手機(jī)循環(huán)視頻。
根據(jù)Google Play商店的官方統(tǒng)計(jì),TikTok的Android應(yīng)用程序當(dāng)前安裝量已超過(guò)10億。根據(jù)Sensor Tower Store Intelligence的估計(jì),到2020年4月,全網(wǎng)移動(dòng)平臺(tái)的安裝量都將突破20億大關(guān)。
通過(guò)模糊測(cè)試的發(fā)現(xiàn)
德國(guó)漏洞賞金獵人Muhammed Taskiran在TikTok URL參數(shù)中發(fā)現(xiàn)了一個(gè)反射型跨站點(diǎn)腳本(XSS)安全漏洞,也稱為非持久XSS,該漏洞反映了未經(jīng)適當(dāng)消毒的值。
Taskiran發(fā)現(xiàn)反射型的XSS可能也導(dǎo)致數(shù)據(jù)泄露,同時(shí)對(duì)公司的www.tiktok.com和m.tiktok.com域進(jìn)行了模糊測(cè)試。
他還發(fā)現(xiàn)TikTok的一個(gè)API端點(diǎn)易受跨站點(diǎn)請(qǐng)求偽造(CSRF)的攻擊,該攻擊可以更改通過(guò)第三方應(yīng)用程序注冊(cè)的用戶的帳戶密碼。
Taskiran說(shuō):“這個(gè)端點(diǎn)使我能夠?yàn)槭褂玫谌綉?yīng)用程序注冊(cè)的帳戶設(shè)置一個(gè)新密碼。”
“我通過(guò)構(gòu)建一個(gè)簡(jiǎn)單的JavaScript payload(觸發(fā)CSRF)將這兩個(gè)漏洞結(jié)合起來(lái),并從一開始就將其注入到易受攻擊的URL參數(shù)中,以存檔“一鍵式帳戶接管”。
Taskiran于2020年8月26日向TikTok報(bào)告了帳戶接管攻擊鏈,ByteDance公司解決了這些問(wèn)題,并于9月18日獎(jiǎng)勵(lì)了漏洞獵手3860美元的賞金。
字節(jié)跳動(dòng)公司去年修復(fù)了更多帳戶劫持漏洞
TikTok還解決了其基礎(chǔ)架構(gòu)中的一系列安全漏洞,阻止了潛在的攻擊者通過(guò)劫持帳戶來(lái)操縱用戶的視頻并竊取其信息的可能。
Check Point研究人員于2019年11月下旬向ByteDance公司披露了這些安全問(wèn)題,ByteDance在一個(gè)月內(nèi)修復(fù)了這些漏洞。
攻擊者可能使用TikTok的SMS系統(tǒng),通過(guò)這些漏洞來(lái)上傳未經(jīng)授權(quán)的視頻或是刪除視頻,將用戶的視頻從私人設(shè)備轉(zhuǎn)移到公共場(chǎng)合,并竊取敏感的個(gè)人數(shù)據(jù)。
“TikTok致力于保護(hù)用戶數(shù)據(jù),”TikTok安全工程師Luke Deshotels表示,“像許多組織一樣,我們鼓勵(lì)負(fù)責(zé)任的安全研究人員在私下向我們披露0day漏洞。”
塞爾吉·加特蘭(Sergiu Gatlan) 2020年11月23日 下午06:28
本文翻譯自:https://www.bleepingcomputer.com/news/security/tiktok-fixes-bugs-allowing-account-takeover-with-one-click/如若轉(zhuǎn)載,請(qǐng)注明原文地址。