• 當前位置:聯(lián)升科技 > 技術(shù)資訊 > 應用安全 >

    被指責存在“潛在的安全隱患”后,TikTok修復了賬戶(hù)劫持安全漏洞

    2020-11-27    作者:我們會(huì )有自己的貓    來(lái)源:嘶吼網(wǎng)    閱讀: 次

    前不久,TikTok被發(fā)現存在兩個(gè)安全漏洞,攻擊者將兩個(gè)漏洞結合后,如果是通過(guò)第三方應用程序注冊的賬戶(hù),只需要單擊一下就可以輕松接管賬戶(hù)。
    總部位于北京的字節跳動(dòng)公司(ByteDance)旗下的社交媒體平臺一般被大家用于分享3到60秒簡(jiǎn)短的手機循環(huán)視頻。
    根據Google Play商店的官方統計,TikTok的Android應用程序當前安裝量已超過(guò)10億。根據Sensor Tower Store Intelligence的估計,到2020年4月,全網(wǎng)移動(dòng)平臺的安裝量都將突破20億大關(guān)。
    通過(guò)模糊測試的發(fā)現
    德國漏洞賞金獵人Muhammed Taskiran在TikTok URL參數中發(fā)現了一個(gè)反射型跨站點(diǎn)腳本(XSS)安全漏洞,也稱(chēng)為非持久XSS,該漏洞反映了未經(jīng)適當消毒的值。
    Taskiran發(fā)現反射型的XSS可能也導致數據泄露,同時(shí)對公司的www.tiktok.com和m.tiktok.com域進(jìn)行了模糊測試。
    他還發(fā)現TikTok的一個(gè)API端點(diǎn)易受跨站點(diǎn)請求偽造(CSRF)的攻擊,該攻擊可以更改通過(guò)第三方應用程序注冊的用戶(hù)的帳戶(hù)密碼。
    Taskiran說(shuō):“這個(gè)端點(diǎn)使我能夠為使用第三方應用程序注冊的帳戶(hù)設置一個(gè)新密碼。”
    “我通過(guò)構建一個(gè)簡(jiǎn)單的JavaScript payload(觸發(fā)CSRF)將這兩個(gè)漏洞結合起來(lái),并從一開(kāi)始就將其注入到易受攻擊的URL參數中,以存檔“一鍵式帳戶(hù)接管”。
    Taskiran于2020年8月26日向TikTok報告了帳戶(hù)接管攻擊鏈,ByteDance公司解決了這些問(wèn)題,并于9月18日獎勵了漏洞獵手3860美元的賞金。
    字節跳動(dòng)公司去年修復了更多帳戶(hù)劫持漏洞
    TikTok還解決了其基礎架構中的一系列安全漏洞,阻止了潛在的攻擊者通過(guò)劫持帳戶(hù)來(lái)操縱用戶(hù)的視頻并竊取其信息的可能。
    Check Point研究人員于2019年11月下旬向ByteDance公司披露了這些安全問(wèn)題,ByteDance在一個(gè)月內修復了這些漏洞。
    攻擊者可能使用TikTok的SMS系統,通過(guò)這些漏洞來(lái)上傳未經(jīng)授權的視頻或是刪除視頻,將用戶(hù)的視頻從私人設備轉移到公共場(chǎng)合,并竊取敏感的個(gè)人數據。
    “TikTok致力于保護用戶(hù)數據,”TikTok安全工程師Luke Deshotels表示,“像許多組織一樣,我們鼓勵負責任的安全研究人員在私下向我們披露0day漏洞。”
    塞爾吉·加特蘭(Sergiu Gatlan) 2020年11月23日 下午06:28
    本文翻譯自:https://www.bleepingcomputer.com/news/security/tiktok-fixes-bugs-allowing-account-takeover-with-one-click/如若轉載,請注明原文地址。


    相關(guān)文章

    我們很樂(lè )意傾聽(tīng)您的聲音!
    即刻與我們取得聯(lián)絡(luò )
    成為日后肩并肩合作的伙伴。

    行業(yè)資訊

    聯(lián)系我們

    13387904606

    地址:新余市仙女湖區仙女湖大道萬(wàn)商紅A2棟

    手機:13755589003
    QQ:122322500
    微信號:13755589003

    江西新余網(wǎng)站設計_小程序制作_OA系統開(kāi)發(fā)_企業(yè)ERP管理系統_app開(kāi)發(fā)-新余聯(lián)升網(wǎng)絡(luò )科技有限公司 贛ICP備19013599號-1   贛公網(wǎng)安備 36050202000267號   

    微信二維碼
    色噜噜狠狠一区二区三区果冻|欧美亚洲日本国产一区|国产精品无码在线观看|午夜视频在线观看一区|日韩少妇一区二区无码|伊人亚洲日韩欧美一区二区|国产在线码观看清码视频