Check Point Research采用三步法深入研究了正在調查的操作:
第一步 — 創(chuàng)建設備列表(注冊物理設備)�。每次啟動時��,TikTok 應用都會執(zhí)行設備注冊程序�����,以確保用戶未切換設備���。
第二步 — 創(chuàng)建有效期為 60 天的會話令牌列表�。在移動設備的短信登錄過程中��,TikTok 服務器通過生成令牌和會話 cookie 來驗證數(shù)據(jù)�。研究期間我們發(fā)現(xiàn)會話 cookie 和令牌數(shù)值在 60 天后過期,這意味著我們可以使用同一 cookie 登錄數(shù)周�����。
第三步 — 繞過 TikTok 的 HTTP 消息簽名��。我們提出的主要研究問題是:用戶能否查詢 TikTok 數(shù)據(jù)庫并因此導致隱私受到侵犯��? 答案是肯定的:我們發(fā)現(xiàn)攻擊者可以通過繞過 TikTok 的 HTTP 消息簽名來操縱登錄過程,從而自動大規(guī)模上載和同步聯(lián)系人�����,最終建立一個用戶信息及其電話號碼數(shù)據(jù)庫�,以待隨時發(fā)起攻擊�����。
結語
報告指出���,TikTok 每月用戶增加 1 億����,全球下載量已超過 20 億�����,其規(guī)模自 2018 年以來幾近翻到三倍�。? 據(jù)移動數(shù)據(jù)和分析公司 App Annie 預測,2012 年 TikTok 不僅將加入 Facebook�����、Instagram、Messenger�、WhatsApp、YouTube 和微信 10 億月活用戶 (MAU) 的行列�����,而且還將突破這一大關�,達到平均每月 12 億活躍用戶。
這種驚人的受歡迎程序加上有關該應用隱私安全問題的持續(xù)報告��,是推動Check Point Research 執(zhí)行這項隱私安全研究的重要因素�����。 我們很高興能夠與 TikTok 團隊攜手解決這些問題�,為用戶享受安全有趣的使用體驗貢獻力量。
有關此研究的完整技術信息���,請訪問:https://research.checkpoint.com/
