热门搜索词

抗D保 IPv6 CN2 功能 漏洞

热门文章

  • [公告] 关于知道创宇云防御平台控制台2...

    道创宇云防御平台控制台3.0 将于 2020-06-01 18:30:00 全面更新,控制台2.0 将正式下线。此动作不会影响您正常使用控制台,由云安全防护的网站不受影响。

  • [公告] 4月29日呼和浩特机房割接通知

    接呼和浩特联通通知,将于北京时间 2020-04-29 00:00:00 至 2020-04-29 04:00:00 进行机房割接维护,涉及 IP段 1.31.128.0 ~ 1.31.128.255。由云安全防护的网站不受影响。

  • [公告] 4月29日襄阳移动机房割接通知

    接湖北移动通知,将于北京时间 2020-04-29 00:00:00 至 2020-04-29 01:00:00 进行机房割接维护,涉及 IP段 111.47.226.0 ~ 111.47.226.255。由云安全防护的网站不受影响。

关注知道创宇云安全

获取最新安全动态

TikTok(抖音)曝出帐户劫持漏洞

来源:NOSEC 2020.01.09

22.png

近期,CheckPoint的安全专家发现全球流行的TikTok应用存在一个高危漏洞,在攻击者仅知道目标手机号码的情况下就可以劫持任何用户的帐户。

TikTok是一个社交媒体应用,用户可利用它创建和分享短视频,其制造者为中国公司字节跳动(ByteDance)。这款社交应用在全球范围内的安装量超过13亿次,美国政府曾指责它与政府有关联,用户数据的安全得不到保障。

该应用所有免费帐户在默认情况下都是公开的,你必须手动限制别人对你帐户的访问。

CheckPoint的研究人员在该应用发现了多个低级别漏洞,可以被远程攻击者联合利用,在目标系统上执行恶意代码,导致危险操作。

这些漏洞包括短信链接欺骗、开放重定向和跨站脚本攻击(XSS)。

根据CheckPoint研究报告的说法,最近几个月,安全研究小组发现了TikTok应用中的多个漏洞,可让攻击者执行以下危险操作:

  • 劫持TikTok帐户并操纵其内容

  • 删除视频

  • 上传未经授权的视频

  • 公开私人“隐藏”的视频

  • 显示保存在帐户中的私人信息,如电子邮件地址

CheckPoint研究人员所使用的攻击手段利用了TikTok的一个特性,即你可以代表TikTok向任何电话号码发送短信。

TikTok的网站(www.tiktok.com)就实现了这一功能,用户可向自己的电话号码发送短信以下载应用。

33.jpg

333.png

而攻击者有可能会滥用这一功能,以TikTok的名义向任何电话号码发送包含恶意URL而非合法下载URL的短信。该恶意URL会指向一个专门设计的页面,可在已经安装了TikTok应用的电子设备上执行恶意代码。

44.jpg

通过开放重定向(安全过滤存在缺陷)和跨站脚本攻击,一旦受害者点击了短信中的恶意链接,攻击者就可发起CSRF攻击,以受害者身份执行JS代码。

重定向漏洞如下所示(对APP进行逆向,发现了正则表达式的缺陷):

55.png

66.png

XSS如下所示:

77.png

研究人员表示:“由于缺乏防御CSRF机制,我们可在受害者没有任何察觉的情况下执行危险操作。”

例如删除视频是一个GET请求,无任何CSRF防御:

88.png

除了删除视频,(通过CSRF)还可以创建视频,强制成为粉丝,公开私人视频,暴露敏感数据等(某些API的调用)。

CheckPoint在2019年11月向字节跳动公司报告了这个漏洞,一个月后该公司发布了一个新版本来解决这些问题。

 

消息来源:https://nosec.org/home/detail/3855.html