前不久，TikTok被發現存在兩個安全漏洞，攻擊者將兩個漏洞結合后，如果是通過第三方應用程序注冊的賬戶，只需要單擊一下就可以輕松接管賬戶。

總部位于北京的字節跳動公司（ByteDance）旗下的社交媒體平臺一般被大家用于分享3到60秒簡短的手機循環視頻。

根據Google Play商店的官方統計，TikTok的Android應用程序當前安裝量已超過10億。根據Sensor Tower Store Intelligence的估計，到2020年4月，全網移動平臺的安裝量都將突破20億大關。

通過模糊測試的發現

德國漏洞賞金獵人Muhammed Taskiran在TikTok URL參數中發現了一個反射型跨站點腳本（XSS）安全漏洞，也稱為非持久XSS，該漏洞反映了未經適當消毒的值。

Taskiran發現反射型的XSS可能也導致數據泄露，同時對公司的www.tiktok.com和m.tiktok.com域進行了模糊測試。

他還發現TikTok的一個API端點易受跨站點請求偽造（CSRF）的攻擊，該攻擊可以更改通過第三方應用程序注冊的用戶的帳戶密碼。

Taskiran說：“這個端點使我能夠為使用第三方應用程序注冊的帳戶設置一個新密碼。”

“我通過構建一個簡單的JavaScript payload（觸發CSRF）將這兩個漏洞結合起來，并從一開始就將其注入到易受攻擊的URL參數中，以存檔“一鍵式帳戶接管”。

Taskiran于2020年8月26日向TikTok報告了帳戶接管攻擊鏈，ByteDance公司解決了這些問題，并于9月18日獎勵了漏洞獵手3860美元的賞金。

字節跳動公司去年修復了更多帳戶劫持漏洞

TikTok還解決了其基礎架構中的一系列安全漏洞，阻止了潛在的攻擊者通過劫持帳戶來操縱用戶的視頻并竊取其信息的可能。

Check Point研究人員于2019年11月下旬向ByteDance公司披露了這些安全問題，ByteDance在一個月內修復了這些漏洞。

攻擊者可能使用TikTok的SMS系統，通過這些漏洞來上傳未經授權的視頻或是刪除視頻，將用戶的視頻從私人設備轉移到公共場合，并竊取敏感的個人數據。

“TikTok致力于保護用戶數據，”TikTok安全工程師Luke Deshotels表示，“像許多組織一樣，我們鼓勵負責任的安全研究人員在私下向我們披露0day漏洞。”

文章及題圖來源：https://www.4hou.com/posts/qDGp

及時掌握網絡安全態勢 盡在傻蛋網絡安全監測系統

【網絡安全監管部門】免費試用

本文來源:4hou.com

如涉及侵權，請及時與我們聯系，我們會在第一時間刪除或處理侵權內容。
電話：400-869-9193 負責人：張明