|
|
|
|
公众号矩阵

被指责存在“潜在的安全隐患”后,TikTok修复了账户劫持安全漏洞

近日,TikTok修复了两个一键劫持账户的安全漏洞。

作者:我们会有自己的猫来源:嘶吼网|2020-11-27 11:22

前不久,TikTok被发现存在两个安全漏洞,攻击者将两个漏洞结合后,如果是通过第三方应用程序注册的账户,只需要单击一下就可以轻松接管账户。

总部位于北京的字节跳动公司(ByteDance)旗下的社交媒体平台一般被大家用于分享3到60秒简短的手机循环视频。

根据Google Play商店的官方统计,TikTok的Android应用程序当前安装量已超过10亿。根据Sensor Tower Store Intelligence的估计,到2020年4月,全网移动平台的安装量都将突破20亿大关。

通过模糊测试的发现

德国漏洞赏金猎人Muhammed Taskiran在TikTok URL参数中发现了一个反射型跨站点脚本(XSS)安全漏洞,也称为非持久XSS,该漏洞反映了未经适当消毒的值。

Taskiran发现反射型的XSS可能也导致数据泄露,同时对公司的www.tiktok.com和m.tiktok.com域进行了模糊测试。

他还发现TikTok的一个API端点易受跨站点请求伪造(CSRF)的攻击,该攻击可以更改通过第三方应用程序注册的用户的帐户密码。

Taskiran说:“这个端点使我能够为使用第三方应用程序注册的帐户设置一个新密码。”

“我通过构建一个简单的JavaScript payload(触发CSRF)将这两个漏洞结合起来,并从一开始就将其注入到易受攻击的URL参数中,以存档“一键式帐户接管”。

Taskiran于2020年8月26日向TikTok报告了帐户接管攻击链,ByteDance公司解决了这些问题,并于9月18日奖励了漏洞猎手3860美元的赏金。

字节跳动公司去年修复了更多帐户劫持漏洞

TikTok还解决了其基础架构中的一系列安全漏洞,阻止了潜在的攻击者通过劫持帐户来操纵用户的视频并窃取其信息的可能。

Check Point研究人员于2019年11月下旬向ByteDance公司披露了这些安全问题,ByteDance在一个月内修复了这些漏洞。

攻击者可能使用TikTok的SMS系统,通过这些漏洞来上传未经授权的视频或是删除视频,将用户的视频从私人设备转移到公共场合,并窃取敏感的个人数据。

“TikTok致力于保护用户数据,”TikTok安全工程师Luke Deshotels表示,“像许多组织一样,我们鼓励负责任的安全研究人员在私下向我们披露0day漏洞。”

塞尔吉·加特兰(Sergiu Gatlan) 2020年11月23日 下午06:28

本文翻译自:https://www.bleepingcomputer.com/news/security/tiktok-fixes-bugs-allowing-account-takeover-with-one-click/如若转载,请注明原文地址。

【编辑推荐】

  1. 为什么没人告诉我Android手机居然还能有线上网?
  2. 2020年还在用Windows 8.1?其实该操作系统并不老土
  3. 微软通过这些新的攻击检测工具增强了Linux的安全性
  4. 代码不止|想制胜海外市场?Google 来帮你!
  5. 代码不止|Google 带你感受科技带来的无限可能
【责任编辑:姜华 TEL:(010)68476606】

点赞 0
分享:
大家都在看
猜你喜欢

订阅专栏+更多

云原生架构实践

云原生架构实践

新技术引领移动互联网进入急速赛道
共3章 | KaliArch

29人订阅学习

数据中心和VPDN网络建设案例

数据中心和VPDN网络建设案例

漫画+案例
共20章 | 捷哥CCIE

193人订阅学习

搭建数据中心实验Lab

搭建数据中心实验Lab

实验平台Datacenter
共5章 | ITGO(老曾)

119人订阅学习

视频课程+更多

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊

51CTO服务号

51CTO官微