TikTok（抖音）曝出帐户劫持漏洞

近期，CheckPoint的安全专家发现全球流行的TikTok应用存在一个高危漏洞，在攻击者仅知道目标手机号码的情况下就可以劫持任何用户的帐户。

TikTok是一个社交媒体应用，用户可利用它创建和分享短视频，其制造者为中国公司字节跳动（ByteDance）。这款社交应用在全球范围内的安装量超过13亿次，美国政府曾指责它与政府有关联，用户数据的安全得不到保障。

该应用所有免费帐户在默认情况下都是公开的，你必须手动限制别人对你帐户的访问。

CheckPoint的研究人员在该应用发现了多个低级别漏洞，可以被远程攻击者联合利用，在目标系统上执行恶意代码，导致危险操作。

这些漏洞包括短信链接欺骗、开放重定向和跨站脚本攻击（XSS）。

根据CheckPoint研究报告的说法，最近几个月，安全研究小组发现了TikTok应用中的多个漏洞，可让攻击者执行以下危险操作：

• 劫持TikTok帐户并操纵其内容

• 删除视频

• 上传未经授权的视频

• 公开私人“隐藏”的视频

• 显示保存在帐户中的私人信息，如电子邮件地址

CheckPoint研究人员所使用的攻击手段利用了TikTok的一个特性，即你可以代表TikTok向任何电话号码发送短信。

TikTok的网站（www.tiktok.com）就实现了这一功能，用户可向自己的电话号码发送短信以下载应用。

而攻击者有可能会滥用这一功能，以TikTok的名义向任何电话号码发送包含恶意URL而非合法下载URL的短信。该恶意URL会指向一个专门设计的页面，可在已经安装了TikTok应用的电子设备上执行恶意代码。

通过开放重定向（安全过滤存在缺陷）和跨站脚本攻击，一旦受害者点击了短信中的恶意链接，攻击者就可发起CSRF攻击，以受害者身份执行JS代码。

重定向漏洞如下所示（对APP进行逆向，发现了正则表达式的缺陷）：

XSS如下所示：

研究人员表示：“由于缺乏防御CSRF机制，我们可在受害者没有任何察觉的情况下执行危险操作。”

例如删除视频是一个GET请求，无任何CSRF防御：

除了删除视频，（通过CSRF）还可以创建视频，强制成为粉丝，公开私人视频，暴露敏感数据等（某些API的调用）。

CheckPoint在2019年11月向字节跳动公司报告了这个漏洞，一个月后该公司发布了一个新版本来解决这些问题。

CheckPoint的研究人员还公布了PoC视频：

https://research.checkpoint.com/wp-content/uploads/2020/01/tiktok_video.mp4?_=1

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场：https://nosec.org/home/detail/3855.html
来源：https://securityaffairs.co/wordpress/96148/hacking/tiktok-hacking-accounts.html