不久前,TikTok被发现存有2个安全性漏洞,网络攻击将2个漏洞融合后,如果是根据第三方应用程序流程申请注册的帐户,只必须点击一下就可以轻轻松松接手帐户。
总公司设在北京市的巨量引擎企业(ByteDance)集团旗下的社交媒体服务平台一般被我们用以共享3到60秒简洁明了的手机上循环系统短视频。
依据Google Play店铺的官方网统计分析,TikTok的Android应用软件现阶段安裝量已高于10亿。依据Sensor Tower Store Intelligence的可能,到2020年4月,各大网站移动应用平台的组装量都将提升20亿价位。
根据模糊不清检测的发现
德国漏洞阿卡丽Muhammed Taskiran在TikTok URL主要参数中发现了一个反射型跨网站脚本制作(XSS)安全性漏洞,也称作非长久XSS,该漏洞体现了没经适度消毒杀菌的值。
Taskiran发现反射型的XSS很有可能也造成数据泄漏,与此同时对公司的www.tiktok.com和m.tiktok.com域开展了模糊不清检测。
他还发现TikTok的一个API节点易受跨网站要求仿冒(CSRF)的进攻,该攻击可以变更根据第三方应用程序流程申请注册的使用者的账号登陆密码。
Taskiran说:“这一节点使我可以为应用第三方应用程序流程申请注册的账号设定一个密码。”
“我根据建立一个简便的JavaScript payload(开启CSRF)将这两个漏洞结合在一起,并从一开始就将其引入到易受攻击的URL主要参数中,以归档“一键式账号接手”。
Taskiran于2020年8月26日向TikTok汇报了账号接手攻击链,ByteDance公司解决了那些问题,并于9月18日奖赏了漏洞猎人3860美金的悬赏金。
巨量引擎企业上年修补了大量账号挟持漏洞
TikTok还解决了其基础架构中的一系列安全性漏洞,阻拦了不确定性的网络攻击根据挟持账号来控制客户的短视频并盗取其数据的很有可能。
Check Point科学研究工作人员于2019年11月中旬向ByteDance公司公布了这种安全隐患,ByteDance在一个月内修补了这种漏洞。
网络攻击很有可能应用TikTok的SMS系统软件,根据这种漏洞来提交没经认证的短视频或者删掉短视频,将客户的短视频从个人机器设备迁移到公共场所,并盗取比较敏感的个人数据。
“TikTok专注于维护客户数据信息,”TikTok注安师Luke Deshotels表明,“像很多机构一样,大家激励承担责任的安全性科研员工在私底下向大家公布0day漏洞。”
塞尔吉·加特兰(Sergiu Gatlan) 2020年11月23日 中午06:28
文中翻譯自:https://www.bleepingcomputer.com/news/security/tiktok-fixes-bugs-allowing-account-takeover-with-one-click/倘若转截,请标明全文详细地址。