前不久,TikTok被發(fā)現(xiàn)存在兩個(gè)安全漏洞,攻擊者將兩個(gè)漏洞結(jié)合后,如果是通過第三方應(yīng)用程序注冊(cè)的賬戶,只需要單擊一下就可以輕松接管賬戶。
總部位于北京的字節(jié)跳動(dòng)公司(ByteDance)旗下的社交媒體平臺(tái)一般被大家用于分享3到60秒簡(jiǎn)短的手機(jī)循環(huán)視頻。
根據(jù)Google Play商店的官方統(tǒng)計(jì),TikTok的Android應(yīng)用程序當(dāng)前安裝量已超過10億。根據(jù)Sensor Tower Store Intelligence的估計(jì),到2020年4月,全網(wǎng)移動(dòng)平臺(tái)的安裝量都將突破20億大關(guān)。
通過模糊測(cè)試的發(fā)現(xiàn)
德國(guó)漏洞賞金獵人Muhammed Taskiran在TikTok URL參數(shù)中發(fā)現(xiàn)了一個(gè)反射型跨站點(diǎn)腳本(XSS)安全漏洞,也稱為非持久XSS,該漏洞反映了未經(jīng)適當(dāng)消毒的值。
Taskiran發(fā)現(xiàn)反射型的XSS可能也導(dǎo)致數(shù)據(jù)泄露,同時(shí)對(duì)公司的www.tiktok.com和m.tiktok.com域進(jìn)行了模糊測(cè)試。
他還發(fā)現(xiàn)TikTok的一個(gè)API端點(diǎn)易受跨站點(diǎn)請(qǐng)求偽造(CSRF)的攻擊,該攻擊可以更改通過第三方應(yīng)用程序注冊(cè)的用戶的帳戶密碼。
Taskiran說:“這個(gè)端點(diǎn)使我能夠?yàn)槭褂玫谌綉?yīng)用程序注冊(cè)的帳戶設(shè)置一個(gè)新密碼。”
“我通過構(gòu)建一個(gè)簡(jiǎn)單的JavaScript payload(觸發(fā)CSRF)將這兩個(gè)漏洞結(jié)合起來,并從一開始就將其注入到易受攻擊的URL參數(shù)中,以存檔“一鍵式帳戶接管”。
Taskiran于2020年8月26日向TikTok報(bào)告了帳戶接管攻擊鏈,ByteDance公司解決了這些問題,并于9月18日獎(jiǎng)勵(lì)了漏洞獵手3860美元的賞金。
字節(jié)跳動(dòng)公司去年修復(fù)了更多帳戶劫持漏洞
TikTok還解決了其基礎(chǔ)架構(gòu)中的一系列安全漏洞,阻止了潛在的攻擊者通過劫持帳戶來操縱用戶的視頻并竊取其信息的可能。
Check Point研究人員于2019年11月下旬向ByteDance公司披露了這些安全問題,ByteDance在一個(gè)月內(nèi)修復(fù)了這些漏洞。
攻擊者可能使用TikTok的SMS系統(tǒng),通過這些漏洞來上傳未經(jīng)授權(quán)的視頻或是刪除視頻,將用戶的視頻從私人設(shè)備轉(zhuǎn)移到公共場(chǎng)合,并竊取敏感的個(gè)人數(shù)據(jù)。
“TikTok致力于保護(hù)用戶數(shù)據(jù),”TikTok安全工程師Luke Deshotels表示,“像許多組織一樣,我們鼓勵(lì)負(fù)責(zé)任的安全研究人員在私下向我們披露0day漏洞。”
塞爾吉·加特蘭(Sergiu Gatlan) 2020年11月23日 下午06:28
本文翻譯自:https://www.bleepingcomputer.com/news/security/tiktok-fixes-bugs-allowing-account-takeover-with-one-click/如若轉(zhuǎn)載,請(qǐng)注明原文地址。