欢迎进入环球UG官网(UG环球),环球UG官方网站:www.ugbet.us开放环球UG网址访问、环球UG会员注册、环球UG代理申请、环球UG电脑客户端、环球UG手机版下载等业务。

首页科技正文

usdt回收(www.caibao.it):TikTok破绽引发数据和隐私泄露

admin2021-02-0828漏洞

USDT自动API接口

菜宝钱包(caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

Check Point研究人员在TikTok中发现了一个安全破绽,攻击者行使该破绽可以窃取用户小我私家简介和绑定的手机号,用于下一步的攻击流动。

1月26日,Check Point研究人员公布文章称发现了TikTok移动客户端friend finder特征中的一个安全破绽。攻击者行使该破绽可以将小我私家简介信息与手机号就行关联,攻击者乐成行使该破绽可以确立一个用户与相关手机号的数据库。破绽影响绑定了手机号或以手机号上岸的用户。

Syncing Contacts联系人同步特征

TikTok移动客户端允许举行联系人同步,也就是说用户可以同步联系人到更容易发现注册了TikTok的同伙。同步历程有2个请求组成:

· 上传联系人;

· 同步联系人。


对用户通讯录中的每个联系人,TikTok都市构建一个包罗以下3个属性的JSON:

· Invited – “False”.

· Name – 使用SHA 256算法哈希的值;

· Phone number – 使用SHA 256算法哈希的值。

将JSON加入列表中,继续上传通讯录:

TikTok使用到https://api16-normal-c-alisg.tiktokv.com/aweme/v1/upload/hashcontacts 的HTTP请求来上传联系人。联系人会以contact 参数中的JSON 列表发送。

好比,单个联系人如下:

· Name: Testing Tester

· Phone number: +972555555555

TikTok会发送以下JSON 列表作为contact参数的值:

上传联系人到TikTok服务器的完整HTTP 请求如下所示:

 

同步联系人

上传联系人请求完成后,TikTok移动客户端就会发送一个sync 同步请求来提取所有与发送的手机号关联的小我私家简介。

发送到 https://api16-normal-c-alisg.tiktokv.com/aweme/v1/social/friend 的HTTP请求如下所示:

应用服务器响应含有小我私家简介列表、哈希的手机号、小我私家名字、唯一id、小我私家简介照片、小我私家简介特征等。

限制

上传和同步联系人请求天天、每用户、每个装备限制在500个以内。

研究问题

单个用户查询TikTok数据库是否会引发隐私问题?

,

usdt收款平台

菜宝钱包(caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

,

Step 1 – 建立装备列表(注册物理装备)

每次启动后,TikTok移动客户端都市执行装备注册历程来确保用户没有在装备之间举行切换。装备注册的历程是用到https://log-va.tiktokv.com/service/2/device_register 的请求来完成的:

凭据HTTP请求中发送的数据,应用服务器会天生一个唯一的device_id token。该token是强制的,并且会应用天生的每个API请求一起发送给应用服务器。

Step 2 – 建立不过时的session token列表

通过SMS上岸只能通过物理装备来举行,是通过发送给https://api16-normal-c-alisg.tiktokv.com/passport/mobile/sms_login_only 的HTTP 请求来实现的。请求的body部门包罗有手机号和一次性验证码编码的参数。

服务器会验证数据,并天生唯一的X-Tt-Token token。此外,服务器还会设置会话的cookie。

研究人员剖析发现会话cookie和X-Tt-Token 值的过时时间都是60天,也就是说8周内使用的cookie都是相同的。

TikTok HTTP新闻署名

研究人员抓取了TikTok的HTTP 请求发现,TikTok移动客户端使用了新闻署名机制来语法攻击者修改新闻和请求的body部门。

新闻署名机制要求服务器验证的X-Gorgon 和X-Khronos header,否则数据不能被请求。

Step 3 – 绕过TikTok HTTP 新闻署名

在拥有了device_id和X-Tt-Token token,以及2个月都不会过时的cookie后,就可以使用虚拟装备来替换真实的物理装备了。

研究人员在测试张使用了运行安卓6.0.1的Genymotion 模拟器,并安装了TikTok移动客户端。

研究人员举行动态剖析发现TikTok移动客户端在后台会执行一个新闻署名的服务。署名服务是com.bytedance.frameworks.baselib.network.http 包的一部门。

署名历程首先是一个一个方式最先:

攻击者可以使用Frida这样的动态剖析框架来hook函数,修改函数的参数数据,然后对请求举行重新署名。因此,攻击者可以使用该服务来对修改后的请求举行署名,建立更新的X-Gorgon和 X-Khronos header值,并发送修改后的请求到TikTok应用服务器。

PoC

有了以上能力,就可以修改HTTP请求和对请求重新举行署名。研究人员写了一个Frida剧本来自动举行新闻重新署名的历程,详细如下:

启动HTTP 服务器,监听4000 端口:

 

剖析HTTP POST请求,并提取出请求署名的数据:

 

使用前述方式对修改后的请求重新署名:

 

返回更新的X-Gorgon 和 X- Khronos署名:

攻击的最终效果可以获取含有账号和手机号的数据库,引发数据和隐私泄露。

本文翻译自:https://research.checkpoint.com/2021/tiktok-fixes-privacy-issue-discovered-by-check-point-research/

网友评论

1条评论
  • 2021-02-08 00:06:35

    联博统计接口www.326681.com采用以太坊区块链高度哈希值作为统计数据,联博以太坊统计数据开源、公平、无任何作弊可能性。联博统计免费提供API接口,支持多语言接入。天哪,我被吸引住了