日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢(xún)
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷(xiāo)解決方案
TikTok 修復(fù) Check Point Research 發(fā)現(xiàn)的隱私安全問(wèn)題

近幾個(gè)月來(lái),Check Point Research 團(tuán)隊(duì)在 TikTok 移動(dòng)應(yīng)用(抖音國(guó)際版)的“朋友查找”功能中發(fā)現(xiàn)了一個(gè)漏洞:該漏洞一旦被利用,攻擊者便可以訪問(wèn)用戶(hù)的個(gè)人資料信息以及帳戶(hù)相關(guān)聯(lián)的電話號(hào)碼, 進(jìn)而建立相關(guān)數(shù)據(jù)庫(kù),發(fā)起惡意活動(dòng)。

Check Point Research 已向 TikTok 的開(kāi)發(fā)人員和安全團(tuán)隊(duì)通報(bào)此漏洞,TikTok 負(fù)責(zé)任地部署了解決方案,以確保用戶(hù)可以繼續(xù)安全地使用應(yīng)用。

背景

2020 年 1 月,Check Point Research 發(fā)表了一份有關(guān) TikTok 漏洞的報(bào)告。報(bào)告稱(chēng)該漏洞可使攻擊者訪問(wèn)保存在用戶(hù)帳戶(hù)中的個(gè)人信息,并操縱用戶(hù)帳戶(hù)信息或未經(jīng)授權(quán)地代表用戶(hù)執(zhí)行操作。TikTok 主動(dòng)負(fù)責(zé)任地部署了解決方案。2020 年 4 月,TikTok 啟動(dòng)一項(xiàng)隱私漏洞獎(jiǎng)勵(lì)計(jì)劃,并于同年 10 月份與 HackerOne 就此建立全球性公共伙伴關(guān)系,鼓勵(lì)安全研究人員查找并負(fù)責(zé)任地披露安全漏洞,以便 TikTok 團(tuán)隊(duì)及時(shí)消除漏洞風(fēng)險(xiǎn),讓攻擊者無(wú)機(jī)可乘。

TikTok 用戶(hù)隱私受到威脅

由于Check Point Research 的主要目的是調(diào)查 TikTok 的隱私安全性,團(tuán)隊(duì)將注意力放在了與用戶(hù)數(shù)據(jù)有關(guān)的所有應(yīng)用操作上。為了方便參考,Check Point Research 密切關(guān)注并比對(duì)了 2019 年有關(guān) instagram 的一份報(bào)告,該報(bào)告證實(shí) instagram 存在可能導(dǎo)致用戶(hù)帳戶(hù)信息和電話泄露的安全問(wèn)題。 經(jīng)調(diào)查發(fā)現(xiàn),TikTok具有聯(lián)系人同步功能,這意味著用戶(hù)可以同步手機(jī)中的聯(lián)系人,從而在 TikTok 上輕松找到可能認(rèn)識(shí)的人。簡(jiǎn)而言之,這可以將用戶(hù)的個(gè)人資料信息關(guān)聯(lián)到他們的電話號(hào)碼。如果被利用,此漏洞將會(huì)影響那些選擇將電話號(hào)碼與帳戶(hù)關(guān)聯(lián)(并非強(qiáng)制要求)或使用電話號(hào)碼登錄的用戶(hù)。

攻擊者可以通過(guò)這些電話號(hào)碼和個(gè)人資料信息獲取用戶(hù)在 TikTok 以外的更多信息,比如搜索其他帳戶(hù)或可用數(shù)據(jù)。

Check Point Research采用三步法深入研究了正在調(diào)查的操作:

  • 第一步 — 創(chuàng)建設(shè)備列表(注冊(cè)物理設(shè)備)。每次啟動(dòng)時(shí),TikTok 應(yīng)用都會(huì)執(zhí)行設(shè)備注冊(cè)程序,以確保用戶(hù)未切換設(shè)備。
  • 第二步 — 創(chuàng)建有效期為 60 天的會(huì)話令牌列表。在移動(dòng)設(shè)備的短信登錄過(guò)程中,TikTok 服務(wù)器通過(guò)生成令牌和會(huì)話 cookie 來(lái)驗(yàn)證數(shù)據(jù)。研究期間我們發(fā)現(xiàn)會(huì)話 cookie 和令牌數(shù)值在 60 天后過(guò)期,這意味著我們可以使用同一 cookie 登錄數(shù)周。
  • 第三步 — 繞過(guò) TikTok 的 HTTP 消息簽名。我們提出的主要研究問(wèn)題是:用戶(hù)能否查詢(xún) TikTok 數(shù)據(jù)庫(kù)并因此導(dǎo)致隱私受到侵犯? 答案是肯定的:我們發(fā)現(xiàn)攻擊者可以通過(guò)繞過(guò) TikTok 的 HTTP 消息簽名來(lái)操縱登錄過(guò)程,從而自動(dòng)大規(guī)模上載和同步聯(lián)系人,最終建立一個(gè)用戶(hù)信息及其電話號(hào)碼數(shù)據(jù)庫(kù),以待隨時(shí)發(fā)起攻擊。

結(jié)語(yǔ)

報(bào)告指出,TikTok 每月用戶(hù)增加 1 億,全球下載量已超過(guò) 20 億,其規(guī)模自 2018 年以來(lái)幾近翻到三倍。 據(jù)移動(dòng)數(shù)據(jù)和分析公司 App Annie 預(yù)測(cè),2012 年 TikTok 不僅將加入 Facebook、instagram、Messenger、WhatsApp、YouTube 和微信 10 億月活用戶(hù) (MAU) 的行列,而且還將突破這一大關(guān),達(dá)到平均每月 12 億活躍用戶(hù)。

這種驚人的受歡迎程序加上有關(guān)該應(yīng)用隱私安全問(wèn)題的持續(xù)報(bào)告,是推動(dòng)Check Point Research 執(zhí)行這項(xiàng)隱私安全研究的重要因素。 我們很高興能夠與 TikTok 團(tuán)隊(duì)攜手解決這些問(wèn)題,為用戶(hù)享受安全有趣的使用體驗(yàn)貢獻(xiàn)力量。


網(wǎng)頁(yè)標(biāo)題:TikTok 修復(fù) Check Point Research 發(fā)現(xiàn)的隱私安全問(wèn)題
標(biāo)題來(lái)源:http://www.dlmjj.cn/article/dhdpdch.html