某短视频平台严重漏洞泄露用户数据 平台网络安全形式受挑战

发布时间:2020-01-14

1月14日讯,据外媒报道,某短视频平台作为全球最受欢迎的短视频社交平台之一,在过去的几个月里,该应用程序的潜在风险一直是新闻报道的焦点,目前,该平台在全球拥有超过13亿用户。


据报道,近日,美国陆军宣布禁止士兵在政府电话中使用该视频软件,因为该应用程序可能被黑客用于监视用户数据,并表示该平台中的多个漏洞可能使攻击者能够操纵用户帐户并暴露个人数据,包括姓名,电子邮件地址和生日信息。


Check Point的安全研究人员发现了该应用程序的数十个漏洞,使攻击者可以在任何平台帐户上执行以下操作:



研究人员表示,发现的漏洞包括SMS虚假链接,开放重定向,跨站点脚本(XSS),跨站点请求伪造(CSRF)和敏感数据暴露,结合这些漏洞,攻击者可以完全控制任何平台用户帐户。


 


据悉,研究人员发现的第一个漏洞是该平台应用程序的SMS功能中的漏洞。为了帮助用户安装该应用程序,该网站会向用户发送文本消息方便用户下载app。但是,黑客可以通过平台的官方网站选择将SMS消息发送到任何账户号码上,使用Burp Suite这样的代理工具捕获HTTP请求,并且可以将下载URL更改为其他链接:


攻击者可以更改URL


黑客通过平台使用伪造的URL下载SMS



通过这些操作,收件人会获得一个欺骗链接而不是用于下载该应用程序的原始链接。研究人员表示,该应用程序具有深层链接功能,可让用户直接到达应用程序内的某个特定目标。


与此同时,平台系统中的登录重定向过程也很容易受到攻击,它使攻击者可以使用网站地址进行任何重新定向。之后,研究人员还在该平台网站上发现了一个XSS漏洞:


重定向网址


由于缺乏反跨站点请求伪造机制,因此研究人员表示,无需受害者的同意他们就可以执行JavaScript代码并代表受害者执行漏洞修复操作。


对于此次事件,该平台的安全专家表示,他们一直致力于保护用户数据,并且鼓励负责任的安全研究人员向组织秘密披露漏洞。而且在公开漏洞之前,平台会确保所有报告的漏洞问题都已在应用程序的最新版本中得到修复!与此同时,研究人员也表示,目前发现的所有漏洞现确实已修复,建议Android和iOS用户使用该平台的最新版本。


中安威士:保护核心数据,捍卫网络安全


来源:E安全

上一条:Nemty Ransomware开始泄露非付费受害者的数据 下一条:CheckPeople的中国服务器暴露了5625万美国居民信息