被指责存在“潜在的安全隐患”后,TikTok修复了账户劫持安全漏洞
前不久,TikTok被发现存在两个安全漏洞,攻击者将两个漏洞结合后,如果是通过第三方应用程序注册的账户,只需要单击一下就可以轻松接管账户。
总部位于北京的字节跳动公司(ByteDance)旗下的社交媒体平台一般被大家用于分享3到60秒简短的手机循环视频。
根据Google Play商店的官方统计,TikTok的Android应用程序当前安装量已超过10亿。根据Sensor Tower Store Intelligence的估计,到2020年4月,全网移动平台的安装量都将突破20亿大关。
通过模糊测试的发现
德国漏洞赏金猎人Muhammed Taskiran在TikTok URL参数中发现了一个反射型跨站点脚本(XSS)安全漏洞,也称为非持久XSS,该漏洞反映了未经适当消毒的值。
Taskiran发现反射型的XSS可能也导致数据泄露,同时对公司的www.tiktok.com和m.tiktok.com域进行了模糊测试。
他还发现TikTok的一个API端点易受跨站点请求伪造(CSRF)的攻击,该攻击可以更改通过第三方应用程序注册的用户的帐户密码。
Taskiran说:“这个端点使我能够为使用第三方应用程序注册的帐户设置一个新密码。”
“我通过构建一个简单的JavaScript payload(触发CSRF)将这两个漏洞结合起来,并从一开始就将其注入到易受攻击的URL参数中,以存档“一键式帐户接管”。
Taskiran于2020年8月26日向TikTok报告了帐户接管攻击链,ByteDance公司解决了这些问题,并于9月18日奖励了漏洞猎手3860美元的赏金。
字节跳动公司去年修复了更多帐户劫持漏洞
TikTok还解决了其基础架构中的一系列安全漏洞,阻止了潜在的攻击者通过劫持帐户来操纵用户的视频并窃取其信息的可能。
Check Point研究人员于2019年11月下旬向ByteDance公司披露了这些安全问题,ByteDance在一个月内修复了这些漏洞。
攻击者可能使用TikTok的SMS系统,通过这些漏洞来上传未经授权的视频或是删除视频,将用户的视频从私人设备转移到公共场合,并窃取敏感的个人数据。
“TikTok致力于保护用户数据,”TikTok安全工程师Luke Deshotels表示,“像许多组织一样,我们鼓励负责任的安全研究人员在私下向我们披露0day漏洞。”
塞尔吉·加特兰(Sergiu Gatlan) 2020年11月23日 下午06:28
本文翻译自:https://www.bleepingcomputer.com/news/security/tiktok-fixes-bugs-allowing-account-takeover-with-one-click/如若转载,请注明原文地址。
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
圆通被约谈 个人信息如何保护?
圆通速递员工泄露消费者个人信息案件引发社会持续关注。除了法律程序之外,上海市网信办今天通报,已于近日约谈圆通公司,责令要求圆通公司加快建立快递运单数据的管理制度。如今我们不管是网购、叫车、点外卖还是使用App,都难免要提供个人信息,方便之余,该如何保护好我们的个人信息呢? 今年7月,圆通速递有限公司河北省区内部员工与外部不法分子勾结,利用员工账号和第三方非法工具窃取运单信息,导致40万条个人信息泄露。河北邯郸警方今天介绍,相关6名犯罪嫌疑人已经全部落网,将于近期以“侵犯公民个人信息罪”被起诉。 实际上,我国法律对公民个人信息的采集方式、使用范围以及技术手段等都有明确规定。 中国法学会消费者权益保护法研究会副秘书长 陈音江:我们的消费者权益保护法,网络安全法以及即将实施的民法典都明确的规定,经营者在采集消费者的个人信息的时候,必须要遵循合法、正当、必要的一个原则,要采取硬件设备或者说相应的技术手段,来确保这种信息的足够安全。 保护个人信息,应用好这些法律武器。专家表示,公民一旦发现自己的个人信息泄露,可依据不同情形选择维权方式。 中国法学会消费者权益保护法研究会副秘书长 陈音江:你可以及...
- 下一篇
李东荣:网络稳定运行和安全防护 已成为全球都不能置身事外的共性问题
11月26日,2020北京国际金融安全论坛在北京召开,中国互联网金融协会会长李东荣出席并发表演讲。 李东荣表示,数字金融业务有关责任的认定、权限管理、风险控制、业务连续性等管理工作难度进一步提升,需要我们对面临形势的严峻性保持清醒的认识。另外,网络的稳定运行和安全防护问题,已经成为全球都不能置身事外的共性问题。 随着全球逐步进入数字化时代,数字化的浪潮蓬勃兴起,数字技术在金融领域里得到了越来越广泛和越来越深入地应用,因此,也带来了一系列新的挑战。 李东荣就此分享了几点个人认识: 一是安全运行形势更加严峻。随着经济社会发展和科技进步,金融业的分工更加专业化、精细化,金融机构之间以及金融机构与科技公司之间在账户、渠道、数据、基础设施等方面的关联性日益增强,传统上的信用风险、道德风险、流动性风险、操作风险等风险表现,在技术环境下呈现出新的变化,并与新技术应用产生的风险交织在一起,需要客观辨别和认识新风险。所有基于网络的各类金融行为的特征,还有待于我们去深入观察和研究,由此,数字金融业务有关责任的认定、权限管理、风险控制、业务连续性等管理工作难度进一步提升,需要我们对面临形势的严峻性保持清醒的...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
-
Docker使用Oracle官方镜像安装(12C,18C,19C)
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- CentOS8编译安装MySQL8.0.19
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- MySQL8.0.19开启GTID主从同步CentOS8
- CentOS7,8上快速安装Gitea,搭建Git服务器
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果
推荐阅读
最新文章
- CentOS6,CentOS7官方镜像安装Oracle11G
- Windows10,CentOS7,CentOS8安装Nodejs环境
- CentOS8编译安装MySQL8.0.19
- SpringBoot2整合Thymeleaf,官方推荐html解决方案
- 设置Eclipse缩进为4个空格,增强代码规范
- CentOS7,8上快速安装Gitea,搭建Git服务器
- Windows10,CentOS7,CentOS8安装MongoDB4.0.16
- CentOS7安装Docker,走上虚拟化容器引擎之路
- CentOS6,7,8上安装Nginx,支持https2.0的开启
- CentOS7编译安装Cmake3.16.3,解决mysql等软件编译问题