前不久,TikTok被發(fā)現(xiàn)存在兩個安全漏洞,攻擊者將兩個漏洞結(jié)合后,如果是通過第三方應(yīng)用程序注冊的賬戶,只需要單擊一下就可以輕松接管賬戶。
總部位于北京的字節(jié)跳動公司(ByteDance)旗下的社交媒體平臺一般被大家用于分享3到60秒簡短的手機(jī)循環(huán)視頻。
根據(jù)Google Play商店的官方統(tǒng)計(jì),TikTok的Android應(yīng)用程序當(dāng)前安裝量已超過10億。根據(jù)Sensor Tower Store Intelligence的估計(jì),到2020年4月,全網(wǎng)移動平臺的安裝量都將突破20億大關(guān)。
通過模糊測試的發(fā)現(xiàn)
德國漏洞賞金獵人Muhammed Taskiran在TikTok URL參數(shù)中發(fā)現(xiàn)了一個反射型跨站點(diǎn)腳本(XSS)安全漏洞,也稱為非持久XSS,該漏洞反映了未經(jīng)適當(dāng)消毒的值。
Taskiran發(fā)現(xiàn)反射型的XSS可能也導(dǎo)致數(shù)據(jù)泄露,同時對公司的www.tiktok.com和m.tiktok.com域進(jìn)行了模糊測試。
他還發(fā)現(xiàn)TikTok的一個API端點(diǎn)易受跨站點(diǎn)請求偽造(CSRF)的攻擊,該攻擊可以更改通過第三方應(yīng)用程序注冊的用戶的帳戶密碼。
Taskiran說:“這個端點(diǎn)使我能夠?yàn)槭褂玫谌綉?yīng)用程序注冊的帳戶設(shè)置一個新密碼。”
“我通過構(gòu)建一個簡單的JavaScript payload(觸發(fā)CSRF)將這兩個漏洞結(jié)合起來,并從一開始就將其注入到易受攻擊的URL參數(shù)中,以存檔“一鍵式帳戶接管”。
Taskiran于2020年8月26日向TikTok報(bào)告了帳戶接管攻擊鏈,ByteDance公司解決了這些問題,并于9月18日獎勵了漏洞獵手3860美元的賞金。
字節(jié)跳動公司去年修復(fù)了更多帳戶劫持漏洞
TikTok還解決了其基礎(chǔ)架構(gòu)中的一系列安全漏洞,阻止了潛在的攻擊者通過劫持帳戶來操縱用戶的視頻并竊取其信息的可能。
Check Point研究人員于2019年11月下旬向ByteDance公司披露了這些安全問題,ByteDance在一個月內(nèi)修復(fù)了這些漏洞。
攻擊者可能使用TikTok的SMS系統(tǒng),通過這些漏洞來上傳未經(jīng)授權(quán)的視頻或是刪除視頻,將用戶的視頻從私人設(shè)備轉(zhuǎn)移到公共場合,并竊取敏感的個人數(shù)據(jù)。
“TikTok致力于保護(hù)用戶數(shù)據(jù),”TikTok安全工程師Luke Deshotels表示,“像許多組織一樣,我們鼓勵負(fù)責(zé)任的安全研究人員在私下向我們披露0day漏洞。”
塞爾吉·加特蘭(Sergiu Gatlan) 2020年11月23日 下午06:28
本文翻譯自:https://www.bleepingcomputer.com/news/security/tiktok-fixes-bugs-allowing-account-takeover-with-one-click/如若轉(zhuǎn)載,請注明原文地址。