国产成人精品无码青草_亚洲国产美女精品久久久久∴_欧美人与鲁交大毛片免费_国产果冻豆传媒麻婆精东

18143453325 在線咨詢 在線咨詢
18143453325 在線咨詢
所在位置: 首頁 > 營銷資訊 > 行業(yè)動態(tài) > TikTok 用戶隱私受到威脅

TikTok 用戶隱私受到威脅

時間:2022-03-23 14:12:01 | 來源:行業(yè)動態(tài)

時間:2022-03-23 14:12:01 來源:行業(yè)動態(tài)

由于CheckPointResearch 的主要目的是調查 TikTok 的隱私安全性,團隊將注意力放在了與用戶數(shù)據(jù)有關的所有應用操作上。為了方便參考,Check Point Research 密切關注并比對了 2019 年有關 Instagram 的一份報告,該報告證實 Instagram 存在可能導致用戶帳戶信息和電話泄露的安全問題。 經調查發(fā)現(xiàn),TikTok具有聯(lián)系人同步功能,這意味著用戶可以同步手機中的聯(lián)系人,從而在 TikTok 上輕松找到可能認識的人。簡而言之,這可以將用戶的個人資料信息關聯(lián)到他們的電話號碼。如果被利用,此漏洞將會影響那些選擇將電話號碼與帳戶關聯(lián)(并非強制要求)或使用電話號碼登錄的用戶。

攻擊者可以通過這些電話號碼和個人資料信息獲取用戶在 TikTok 以外的更多信息,比如搜索其他帳戶或可用數(shù)據(jù)。



CheckPointResearch采用三步法深入研究了正在調查的操作:

第一步 創(chuàng)建設備列表(注冊物理設備)。每次啟動時,TikTok 應用都會執(zhí)行設備注冊程序,以確保用戶未切換設備。

第二步 創(chuàng)建有效期為 60 天的會話令牌列表。在移動設備的短信登錄過程中,TikTok 服務器通過生成令牌和會話 cookie 來驗證數(shù)據(jù)。研究期間我們發(fā)現(xiàn)會話 cookie 和令牌數(shù)值在 60 天后過期,這意味著我們可以使用同一 cookie 登錄數(shù)周。

第三步 繞過 TikTok 的 HTTP 消息簽名。我們提出的主要研究問題是:用戶能否查詢 TikTok 數(shù)據(jù)庫并因此導致隱私受到侵犯? 答案是肯定的:我們發(fā)現(xiàn)攻擊者可以通過繞過 TikTok 的 HTTP 消息簽名來操縱登錄過程,從而自動大規(guī)模上載和同步聯(lián)系人,最終建立一個用戶信息及其電話號碼數(shù)據(jù)庫,以待隨時發(fā)起攻擊。

關鍵詞:威脅,用戶

74
73
25
news

版權所有? 億企邦 1997-2022 保留一切法律許可權利。

為了最佳展示效果,本站不支持IE9及以下版本的瀏覽器,建議您使用谷歌Chrome瀏覽器。 點擊下載Chrome瀏覽器
關閉