近幾個月來，Check Point Research 團隊在 TikTok 移動應用(抖音國際版)的“朋友查找”功能中發現了一個漏洞：該漏洞一旦被利用，攻擊者便可以訪問用戶的個人資料信息以及帳戶相關聯的電話號碼， 進而建立相關數據庫，發起惡意活動。

Check Point Research 已向 TikTok 的開發人員和安全團隊通報此漏洞，TikTok 負責任地部署了解決方案，以確保用戶可以繼續安全地使用應用。

背景

2020 年 1 月，Check Point Research 發表了一份有關 TikTok 漏洞的報告。報告稱該漏洞可使攻擊者訪問保存在用戶帳戶中的個人信息，并操縱用戶帳戶信息或未經授權地代表用戶執行操作。TikTok 主動負責任地部署了解決方案。2020 年 4 月，TikTok 啟動一項隱私漏洞獎勵計劃，并于同年 10 月份與 HackerOne 就此建立全球性公共伙伴關系，鼓勵安全研究人員查找并負責任地披露安全漏洞，以便 TikTok 團隊及時消除漏洞風險，讓攻擊者無機可乘。

TikTok 用戶隱私受到威脅

由于Check Point Research 的主要目的是調查 TikTok 的隱私安全性，團隊將注意力放在了與用戶數據有關的所有應用操作上。為了方便參考，Check Point Research 密切關注并比對了 2019 年有關 instagram 的一份報告，該報告證實 instagram 存在可能導致用戶帳戶信息和電話泄露的安全問題。 經調查發現，TikTok具有聯系人同步功能，這意味著用戶可以同步手機中的聯系人，從而在 TikTok 上輕松找到可能認識的人。簡而言之，這可以將用戶的個人資料信息關聯到他們的電話號碼。如果被利用，此漏洞將會影響那些選擇將電話號碼與帳戶關聯(并非強制要求)或使用電話號碼登錄的用戶。

攻擊者可以通過這些電話號碼和個人資料信息獲取用戶在 TikTok 以外的更多信息，比如搜索其他帳戶或可用數據。

Check Point Research采用三步法深入研究了正在調查的操作：

• 第一步 — 創建設備列表(注冊物理設備)。每次啟動時，TikTok 應用都會執行設備注冊程序，以確保用戶未切換設備。
• 第二步 — 創建有效期為 60 天的會話令牌列表。在移動設備的短信登錄過程中，TikTok 服務器通過生成令牌和會話 cookie 來驗證數據。研究期間我們發現會話 cookie 和令牌數值在 60 天后過期，這意味著我們可以使用同一 cookie 登錄數周。
• 第三步 — 繞過 TikTok 的 HTTP 消息簽名。我們提出的主要研究問題是：用戶能否查詢 TikTok 數據庫并因此導致隱私受到侵犯? 答案是肯定的：我們發現攻擊者可以通過繞過 TikTok 的 HTTP 消息簽名來操縱登錄過程，從而自動大規模上載和同步聯系人，最終建立一個用戶信息及其電話號碼數據庫，以待隨時發起攻擊。

結語

報告指出，TikTok 每月用戶增加 1 億，全球下載量已超過 20 億，其規模自 2018 年以來幾近翻到三倍。 據移動數據和分析公司 App Annie 預測，2012 年 TikTok 不僅將加入 Facebook、instagram、Messenger、WhatsApp、YouTube 和微信 10 億月活用戶 (MAU) 的行列，而且還將突破這一大關，達到平均每月 12 億活躍用戶。

這種驚人的受歡迎程序加上有關該應用隱私安全問題的持續報告，是推動Check Point Research 執行這項隱私安全研究的重要因素。 我們很高興能夠與 TikTok 團隊攜手解決這些問題，為用戶享受安全有趣的使用體驗貢獻力量。