前不久,TikTok被發(fā)現存在兩個(gè)安全漏洞,攻擊者將兩個(gè)漏洞結合后,如果是通過(guò)第三方應用程序注冊的賬戶(hù),只需要單擊一下就可以輕松接管賬戶(hù)。
總部位于北京的字節跳動(dòng)公司(ByteDance)旗下的社交媒體平臺一般被大家用于分享3到60秒簡(jiǎn)短的手機循環(huán)視頻。
根據Google Play商店的官方統計,TikTok的Android應用程序當前安裝量已超過(guò)10億。根據Sensor Tower Store Intelligence的估計,到2020年4月,全網(wǎng)移動(dòng)平臺的安裝量都將突破20億大關(guān)。
通過(guò)模糊測試的發(fā)現
德國漏洞賞金獵人Muhammed Taskiran在TikTok URL參數中發(fā)現了一個(gè)反射型跨站點(diǎn)腳本(XSS)安全漏洞,也稱(chēng)為非持久XSS,該漏洞反映了未經(jīng)適當消毒的值。
Taskiran發(fā)現反射型的XSS可能也導致數據泄露,同時(shí)對公司的www.tiktok.com和m.tiktok.com域進(jìn)行了模糊測試。
他還發(fā)現TikTok的一個(gè)API端點(diǎn)易受跨站點(diǎn)請求偽造(CSRF)的攻擊,該攻擊可以更改通過(guò)第三方應用程序注冊的用戶(hù)的帳戶(hù)密碼。
Taskiran說(shuō):“這個(gè)端點(diǎn)使我能夠為使用第三方應用程序注冊的帳戶(hù)設置一個(gè)新密碼。”
“我通過(guò)構建一個(gè)簡(jiǎn)單的JavaScript payload(觸發(fā)CSRF)將這兩個(gè)漏洞結合起來(lái),并從一開(kāi)始就將其注入到易受攻擊的URL參數中,以存檔“一鍵式帳戶(hù)接管”。
Taskiran于2020年8月26日向TikTok報告了帳戶(hù)接管攻擊鏈,ByteDance公司解決了這些問(wèn)題,并于9月18日獎勵了漏洞獵手3860美元的賞金。
字節跳動(dòng)公司去年修復了更多帳戶(hù)劫持漏洞
TikTok還解決了其基礎架構中的一系列安全漏洞,阻止了潛在的攻擊者通過(guò)劫持帳戶(hù)來(lái)操縱用戶(hù)的視頻并竊取其信息的可能。
Check Point研究人員于2019年11月下旬向ByteDance公司披露了這些安全問(wèn)題,ByteDance在一個(gè)月內修復了這些漏洞。
攻擊者可能使用TikTok的SMS系統,通過(guò)這些漏洞來(lái)上傳未經(jīng)授權的視頻或是刪除視頻,將用戶(hù)的視頻從私人設備轉移到公共場(chǎng)合,并竊取敏感的個(gè)人數據。
“TikTok致力于保護用戶(hù)數據,”TikTok安全工程師Luke Deshotels表示,“像許多組織一樣,我們鼓勵負責任的安全研究人員在私下向我們披露0day漏洞。”
塞爾吉·加特蘭(Sergiu Gatlan) 2020年11月23日 下午06:28
本文翻譯自:https://www.bleepingcomputer.com/news/security/tiktok-fixes-bugs-allowing-account-takeover-with-one-click/如若轉載,請注明原文地址。