TikTok 修复 Check Point Research 发现的隐私安全问题

近几个月来，Check Point Research 团队在 TikTok 移动应用（抖音国际版）的“朋友查找”功能中发现了一个漏洞：该漏洞一旦被利用，攻击者便可以访问用户的个人资料信息以及帐户相关联的电话号码，   进而建立相关数据库，发起恶意活动。

Check Point Research 已向 TikTok 的开发人员和安全团队通报此漏洞，TikTok 负责任地部署了解决方案，以确保用户可以继续安全地使用应用。

背景

2020 年 1 月，Check Point Research 发表了一份有关 TikTok 漏洞的报告。报告称该漏洞可使攻击者访问保存在用户帐户中的个人信息，并操纵用户帐户信息或未经授权地代表用户执行操作。TikTok 主动负责任地部署了解决方案。2020 年 4 月，TikTok 启动一项隐私漏洞奖励计划，并于同年 10 月份与 HackerOne 就此建立全球性公共伙伴关系，鼓励安全研究人员查找并负责任地披露安全漏洞，以便 TikTok 团队及时消除漏洞风险，让攻击者无机可乘。

TikTok 用户隐私受到威胁

由于Check Point Research 的主要目的是调查 TikTok 的隐私安全性，团队将注意力放在了与用户数据有关的所有应用操作上。为了方便参考，Check Point Research 密切关注并比对了 2019 年有关 Instagram 的一份报告，该报告证实 Instagram 存在可能导致用户帐户信息和电话泄露的安全问题。  经调查发现，TikTok具有联系人同步功能，这意味着用户可以同步手机中的联系人，从而在 TikTok 上轻松找到可能认识的人。简而言之，这可以将用户的个人资料信息关联到他们的电话号码。如果被利用，此漏洞将会影响那些选择将电话号码与帐户关联（并非强制要求）或使用电话号码登录的用户。

攻击者可以通过这些电话号码和个人资料信息获取用户在 TikTok 以外的更多信息，比如搜索其他帐户或可用数据。

Check Point Research采用三步法深入研究了正在调查的操作：

第一步 — 创建设备列表（注册物理设备）。每次启动时，TikTok 应用都会执行设备注册程序，以确保用户未切换设备。

第二步 — 创建有效期为 60 天的会话令牌列表。在移动设备的短信登录过程中，TikTok 服务器通过生成令牌和会话 cookie 来验证数据。研究期间我们发现会话 cookie 和令牌数值在 60 天后过期，这意味着我们可以使用同一 cookie 登录数周。

第三步 — 绕过 TikTok 的 HTTP 消息签名。我们提出的主要研究问题是：用户能否查询 TikTok 数据库并因此导致隐私受到侵犯？  答案是肯定的：我们发现攻击者可以通过绕过 TikTok 的 HTTP 消息签名来操纵登录过程，从而自动大规模上载和同步联系人，最终建立一个用户信息及其电话号码数据库，以待随时发起攻击。  

结语

报告指出，TikTok 每月用户增加 1 亿，全球下载量已超过 20 亿，其规模自 2018 年以来几近翻到三倍。  据移动数据和分析公司 App Annie 预测，2012 年 TikTok 不仅将加入 Facebook、Instagram、Messenger、WhatsApp、YouTube 和微信 10 亿月活用户 (MAU) 的行列，而且还将突破这一大关，达到平均每月 12 亿活跃用户。

这种惊人的受欢迎程序加上有关该应用隐私安全问题的持续报告，是推动Check Point Research 执行这项隐私安全研究的重要因素。 我们很高兴能够与 TikTok 团队携手解决这些问题，为用户享受安全有趣的使用体验贡献力量。