前不久,TikTok被发现存在两个安全漏洞,攻击者将两个漏洞结合后,如果是通过第三方应用程序注册的账户,只需要单击一下就可以轻松接管账户。
总部位于北京的字节跳动公司(ByteDance)旗下的社交媒体平台一般被大家用于分享3到60秒简短的手机循环视频。
根据Google Play商店的官方统计,TikTok的Android应用程序当前安装量已超过10亿。根据Sensor Tower Store Intelligence的估计,到2020年4月,全网移动平台的安装量都将突破20亿大关。
通过模糊测试的发现
德国漏洞赏金猎人Muhammed Taskiran在TikTok URL参数中发现了一个反射型跨站点脚本(XSS)安全漏洞,也称为非持久XSS,该漏洞反映了未经适当消毒的值。
Taskiran发现反射型的XSS可能也导致数据泄露,同时对公司的www.tiktok.com和m.tiktok.com域进行了模糊测试。
他还发现TikTok的一个API端点易受跨站点请求伪造(CSRF)的攻击,该攻击可以更改通过第三方应用程序注册的用户的帐户密码。
Taskiran说:“这个端点使我能够为使用第三方应用程序注册的帐户设置一个新密码。”
“我通过构建一个简单的JavaScript payload(触发CSRF)将这两个漏洞结合起来,并从一开始就将其注入到易受攻击的URL参数中,以存档“一键式帐户接管”。
Taskiran于2020年8月26日向TikTok报告了帐户接管攻击链,ByteDance公司解决了这些问题,并于9月18日奖励了漏洞猎手3860美元的赏金。
字节跳动公司去年修复了更多帐户劫持漏洞
TikTok还解决了其基础架构中的一系列安全漏洞,阻止了潜在的攻击者通过劫持帐户来操纵用户的视频并窃取其信息的可能。
Check Point研究人员于2019年11月下旬向ByteDance公司披露了这些安全问题,ByteDance在一个月内修复了这些漏洞。
攻击者可能使用TikTok的SMS系统,通过这些漏洞来上传未经授权的视频或是删除视频,将用户的视频从私人设备转移到公共场合,并窃取敏感的个人数据。
“TikTok致力于保护用户数据,”TikTok安全工程师Luke Deshotels表示,“像许多组织一样,我们鼓励负责任的安全研究人员在私下向我们披露0day漏洞。”
塞尔吉·加特兰(Sergiu Gatlan) 2020年11月23日 下午06:28
本文翻译自:https://www.bleepingcomputer.com/news/security/tiktok-fixes-bugs-allowing-account-takeover-with-one-click/如若转载,请注明原文地址。