TikTok Bug可能暴露了用户的个人资料数据和电话号码

网络安全研究人员周二透露，TikTok中存在一个现已修补的安全漏洞，该漏洞可能使攻击者能够建立应用程序用户及其相关电话号码的数据库，以备将来进行恶意活动。

Check Point Research在与《黑客新闻》分享的一份分析报告中称，尽管该漏洞只影响那些将电话号码与其帐户链接或使用电话号码登录的用户，但成功利用该漏洞可能会导致数据泄露和隐私侵犯。

TikTok已经部署了一个修复程序，以解决Check Point研究人员负责任地披露信息后出现的缺陷。

新发现的漏洞存在于TikTok的“寻找朋友”功能中，该功能允许用户将他们的联系人与该服务同步，以确定潜在的关注对象。

这些联系人通过HTTP请求上传到TikTok，以列表的形式，列表由散列的联系人姓名和相应的电话号码组成。

在下一步中，该应用程序将发送第二个HTTP请求，检索与前一个请求中发送的电话号码连接的TikTok配置文件。此响应包括个人资料名称、电话号码、照片和其他与个人资料相关的信息。

虽然上传和同步联系人请求限制为每天500个联系人、每个用户和每个设备，但Check Point研究人员找到了一种方法，通过获取设备标识符、服务器设置的会话cookie、，一个名为“X-Tt-token”的独特令牌，在使用SMS登录帐户时设置，并在运行Android 6.0.1的模拟器上模拟整个过程。

值得注意的是，为了从TikTok应用服务器请求数据，HTTP请求必须包括用于服务器验证的X-Gorgon和X-Khronos头，以确保消息不被篡改。

但是通过修改HTTP请求—；攻击者想要同步的联系人数—；并用更新后的消息签名对其进行重新签名，该漏洞使大规模上传和同步联系人的过程自动化，并创建链接帐户及其连接电话号码的数据库成为可能。

这远远不是第一次发现流行的视频共享应用存在安全漏洞。

2020年1月，Check Point研究人员在TikTok应用程序中发现了多个漏洞，这些漏洞可能被用来获取用户帐户并操纵其内容，包括删除视频、上传未经授权的视频、公开私人“隐藏”视频，以及泄露保存在该帐户上的个人信息。

然后在4月，安全研究人员塔拉尔·哈吉·巴克里（Talal Haj Bakry）和汤米·迈斯克（Tommy Mysk）揭露了TikTok中的漏洞，使攻击者能够通过将应用重定向到一个虚假服务器上，从而显示伪造的视频，包括来自已验证帐户的视频。

最终，TikTok于去年10月与HackerOne建立了一个漏洞赏金合作关系，以帮助用户或安全专业人士标记平台的技术问题。根据该计划，关键漏洞（CVSS分数9-10）有资格获得6900美元至14800美元的赔偿。

“这一次，我们的主要动机是探索TikTok的隐私，”Check Point产品漏洞研究主管Oded Vanunu说。“我们很好奇TikTok平台是否可以用来获取私人用户数据。事实证明，答案是肯定的，因为我们能够绕过TikTok的多种保护机制，从而导致侵犯隐私。”

“拥有这种敏感信息的攻击者可能会执行一系列恶意活动，例如鱼叉式网络钓鱼或其他犯罪行为。”