近幾個(gè)月來(lái)，Check Point Research 團(tuán)隊(duì)在 TikTok 移動(dòng)應(yīng)用(抖音國(guó)際版)的“朋友查找”功能中發(fā)現(xiàn)了一個(gè)漏洞：該漏洞一旦被利用，攻擊者便可以訪問(wèn)用戶的個(gè)人資料信息以及帳戶相關(guān)聯(lián)的電話號(hào)碼， 進(jìn)而建立相關(guān)數(shù)據(jù)庫(kù)，發(fā)起惡意活動(dòng)。

　　Check Point Research 已向 TikTok 的開(kāi)發(fā)人員和安全團(tuán)隊(duì)通報(bào)此漏洞，TikTok 負(fù)責(zé)任地部署了解決方案，以確保用戶可以繼續(xù)安全地使用應(yīng)用。

　　背景

　　2020 年 1 月，Check Point Research 發(fā)表 了一份有關(guān) TikTok 漏洞的報(bào)告。報(bào)告稱該漏洞可使攻擊者訪問(wèn)保存在用戶帳戶中的個(gè)人信息，并操縱用戶帳戶信息或未經(jīng)授權(quán)地代表用戶執(zhí)行操作。TikTok 主動(dòng)負(fù)責(zé)任地部署了解決方案。2020 年 4 月，TikTok 啟動(dòng)一項(xiàng)隱私漏洞獎(jiǎng)勵(lì)計(jì)劃，并于同年 10 月份與 HackerOne 就此建立全球性公共伙伴關(guān)系，鼓勵(lì)安全研究人員查找并負(fù)責(zé)任地披露安全漏洞，以便 TikTok 團(tuán)隊(duì)及時(shí)消除漏洞風(fēng)險(xiǎn)，讓攻擊者無(wú)機(jī)可乘。

　　TikTok 用戶隱私受到威脅

　　由于Check Point Research 的主要目的是調(diào)查 TikTok 的隱私安全性，團(tuán)隊(duì)將注意力放在了與用戶數(shù)據(jù)有關(guān)的所有應(yīng)用操作上。為了方便參考，Check Point Research 密切關(guān)注并比對(duì)了 2019 年有關(guān) instagram 的一份 報(bào)告 ，該報(bào)告證實(shí) instagram 存在可能導(dǎo)致用戶帳戶信息和電話泄露的安全問(wèn)題。 經(jīng)調(diào)查發(fā)現(xiàn)，TikTok具有聯(lián)系人同步功能，這意味著用戶可以同步手機(jī)中的聯(lián)系人，從而在 TikTok 上輕松找到可能認(rèn)識(shí)的人。簡(jiǎn)而言之，這可以將用戶的個(gè)人資料信息關(guān)聯(lián)到他們的電話號(hào)碼。如果被利用，此漏洞將會(huì)影響那些選擇將電話號(hào)碼與帳戶關(guān)聯(lián)(并非強(qiáng)制要求)或使用電話號(hào)碼登錄的用戶。

　　攻擊者可以通過(guò)這些電話號(hào)碼和個(gè)人資料信息獲取用戶在 TikTok 以外的更多信息，比如搜索其他帳戶或可用數(shù)據(jù)。

　　Check Point Research采用三步法深入研究了正在調(diào)查的操作：

　　第一步 — 創(chuàng)建設(shè)備列表(注冊(cè)物理設(shè)備)。每次啟動(dòng)時(shí)，TikTok 應(yīng)用都會(huì)執(zhí)行設(shè)備注冊(cè)程序，以確保用戶未切換設(shè)備。

　　第二步 — 創(chuàng)建有效期為 60 天的會(huì)話令牌列表。在移動(dòng)設(shè)備的短信登錄過(guò)程中，TikTok 服務(wù)器通過(guò)生成令牌和會(huì)話 cookie 來(lái)驗(yàn)證數(shù)據(jù)。研究期間我們發(fā)現(xiàn)會(huì)話 cookie 和令牌數(shù)值在 60 天后過(guò)期，這意味著我們可以使用同一 cookie 登錄數(shù)周。

　　第三步 — 繞過(guò) TikTok 的 HTTP 消息簽名。我們提出的主要研究問(wèn)題是：用戶能否查詢 TikTok 數(shù)據(jù)庫(kù)并因此導(dǎo)致隱私受到侵犯? 答案是肯定的：我們發(fā)現(xiàn)攻擊者可以通過(guò)繞過(guò) TikTok 的 HTTP 消息簽名來(lái)操縱登錄過(guò)程，從而自動(dòng)大規(guī)模上載和同步聯(lián)系人，最終建立一個(gè)用戶信息及其電話號(hào)碼數(shù)據(jù)庫(kù)，以待隨時(shí)發(fā)起攻擊。

　　結(jié)語(yǔ)

　　報(bào)告指出，TikTok 每月用戶增加 1 億，全球下載量已超過(guò) 20 億，其規(guī)模自 2018 年以來(lái)幾近翻到三倍。 據(jù)移動(dòng)數(shù)據(jù)和分析公司 App Annie 預(yù)測(cè)，2012 年 TikTok 不僅將加入 Facebook 、 instagram、Messenger、WhatsApp、YouTube 和微信 10 億月活用戶 (MAU) 的行列，而且還將突破這一大關(guān)，達(dá)到平均每月 12 億活躍用戶。

　　這種驚人的受歡迎程序加上有關(guān)該應(yīng)用隱私安全問(wèn)題的持續(xù) 報(bào)告 ，是推動(dòng)Check Point Research 執(zhí)行這項(xiàng)隱私安全研究的重要因素。 我們很高興能夠與 TikTok 團(tuán)隊(duì)攜手解決這些問(wèn)題，為用戶享受安全有趣的使用體驗(yàn)貢獻(xiàn)力量。

　　有關(guān)此研究的完整技術(shù)信息，請(qǐng)?jiān)L問(wèn)： https://research.checkpoint.com/