抖音海外版TikTok修复多个严重安全漏洞

抖音海外版TikTok作为一款成功冲出国门，走到全球的现象级产品，2019年它在全球APP下载量排名第三，在成功的同时，这也引来了繁华势力的眼红，美国海军、陆军纷纷表示不得安装该应用。美国党派参议员指责TikTok“威胁国家安全”，可能被用来“监视美国公民”。

但TikTok方面表示，其所有的用户数据完全位于中国境外，美国用户数据被储存在美国本土，并在新加坡进行备份。此外，该公司有一个专门的技术团队负责数据隐私和网络安全等问题。

而实际上，美国国防部12月16日发布的、关于“网络敏感性”的通知。其中声称，使用TikTok存在“潜在的安全隐患”，并要求所有国防部雇员“警惕下载的应用程序，检查手机上是否有反常或者来路不明的短信，并立即删除他们，卸载TikTok以避免任何个人信息的泄露”。

配合近日发布的关于TikTok的漏洞报告，也许可以观测到，到底TikTok具有什么安全漏洞。

本报告由以色列网络安全公司Check Point安全研究人员分析撰写。

漏洞介绍视频↓

在TikTok的主要网站：上，有一项功能可以让用户向自己发送SMS短信以下载该应用程序，这也就造成了，TikTok可以将SMS短信发送到任何电话号码。

希望向受害者发送SMS消息的攻击者可以使用代理工具（例如Burp Suite）捕获HTTP请求。该手机参数中，短信将发送到与电话号码DOWNLOAD_URL参数是会出现在SMS短信中的下载链接：

正常发送的短信：

那么，只要更改download_url参数，那么将导致发送已经伪造后的SMS消息，其中包含攻击者选择插入的恶意链接。

以下屏幕截图演示了包含恶意链接的欺骗性SMS消息。使用以下链接attacker.com进行插入

包含https://attacker.com链接的诈骗短信，但仍然来自官方的发信号。

在Android手机上对TikTok应用程序进行逆向时发现它具有指定URL scheme的功能，可以通过浏览器在TikTok应用程序中调跳转到其他链接。

下图为TikTok APP监听的目标是”https://m.tiktok.com“schema和”musically://”自定义schema：

关于安卓schema可以看下图，然后就很好理解了。

结合上面第一个SMS链接欺骗漏洞，攻击者可以发送包含上述schema的自定义链接。由于自定义链接将包含“ url ”参数，因此当APP打开一个Web视图（浏览器）窗口，并从APP转到通过该参数编写的网页时候，这时任何请求将与用户的cookie一起发送。

例如当点击这个链接后

如代码所示，图中便是触发链接后将开始解析的代码，Tiktok将打开一个Web视图（浏览器）窗口，并转到:8000 ，即由攻击者控制的Web服务器，从而使攻击者有可能代表用户发送请求。