我收到了很多DM要求我用一张纸和令人不快的代码片段来证明这一点的大部分。我在另一台最近主板出现故障的笔记本电脑上有相当数量的笔记,其中大部分数据都在笔记本电脑的固态硬盘上。它是MacBook Pro,所以恢复数据并不是非常简单。我有一些推送到GIT服务器上的FRIDA脚本,还有一些利用漏洞开发工具的标记文件+对话日志,但仅此而已。为了给每个人提供他们需要的证据,我很可能需要重新翻转这个应用程序,这不是我现在有时间做的事情。
我计划建立一个简单的网站/博客与我所拥有的,并将更新此评论的链接,当它';完成。感谢你们所有人对这个问题的关注,并感谢每一位仔细审查我的声明的人。在这个虚假信息充斥的时代,我们需要更多这样的信息。
所以我个人可以对此发表意见。我对这款应用进行了反向工程,并自信地表示,我对这款应用的操作方式(或者至少几个月前的操作方式)有非常深刻的理解。
TikTok是一项几乎不加掩饰的社交网络数据收集服务。如果有API可以获取有关您、您的联系人或您的设备的信息.。嗯,他们正在用它。
电话硬件(CPU类型、课程数量、硬件ID、屏幕尺寸、dpi、内存使用量、磁盘空间等)。
你安装的其他应用程序(我甚至看到过一些我已经删除的应用程序出现在它们的分析负载中--可能会用作缓存值?)。
这款应用的一些变种当时启用了GPS ping,大约每30秒一次-如果您曾经对帖子IIRC进行位置标记,默认情况下会启用这一功能。
他们在您的设备上设置了用于转码媒体的本地代理服务器,但这很容易被滥用,因为它没有身份验证
所有这些中最可怕的部分是,他们正在做的很多日志记录都是可以远程配置的,除非您反转他们的每一个本地库(阅读所有程序集都很有趣,假设您可以通过他们定制的OLLVM分支!)。并且手动检查每个单独的模糊函数。他们有几种不同的保护措施,可以防止你逆转或调试应用程序。如果他们知道你正在试图弄清楚他们在做什么,应用程序的行为会略有改变。在Android版本上也有一些代码片段,允许下载远程zip文件、解压缩和执行所述二进制文件。没有理由移动应用程序会合法地需要此功能。
最重要的是,他们使用HTTPS的时间甚至最长。他们在HTTP rest API中泄露了用户的电子邮件地址,以及用于密码重置的次要电子邮件。不要忘记用户的真实姓名和生日。几个月前,如果你下载了这款应用程序,你就可以全部公开查看了。
他们为用户提供了病毒式的体验,以吸引他们留在平台上。你的第一个TikTok帖子可能会获得相当多的赞,无论它有多好。假设你通过了最初的审核队列,如果这还是一件事的话。大多数用户最终都会追逐这条龙。哦,这个应用程序上还有一大堆可以直接接触到孩子们的令人毛骨悚然的老人,我亲眼看到(并报告)了一些非常可疑的东西。40-50岁的男性让8-10岁的女孩与他们一起唱带有性暗示的歌曲进行二重唱。这些视频都是公开发布的。TikTok具有直接消息传递功能。
不过,事情是这样的..。他们不想让你知道他们收集了多少关于你的信息,所有这些数据集中在一个地方的安全影响是他妈的巨大的。他们用一种算法加密所有的分析请求,该算法会随着每次更新而改变(至少密钥会改变),这样你就看不到他们在做什么了。他们还做到了这一点,如果你在DNS级别阻止与他们的分析主机的通信,你就根本无法使用这款应用程序。
值得一提的是,我已经逆转了Instagram、Facebook、Reddit和Twitter应用程序。他们收集的数据量与TikTok相去甚远,而且他们肯定不会像TikTok那样直接试图隐藏发送的内容。这就像把一杯水比作海洋--它们根本无法比较。
我是一个知道应用程序如何工作的书呆子。称其为广告平台是一种轻描淡写的说法。TikTok本质上是针对儿童的恶意软件。不要使用TikTok。不要让你的朋友和家人使用它。
编辑:这太夸张了--抱歉打错了,我很快就写好了这条评论。我感谢金牌/奖励/等人,但老实说,我只是很高兴我终于能够把这些信息放在人们面前(即使它可能会过时几个月)。
如果你是一名安全研究员,想看看这款应用程序的最新版本,给我发个PM,我会给你所有的信息,作为你做事情的跳跃点。
编辑3:更新了Penetrum链接并添加了Zimperium的报告(需要您手动申请)。
上述Penetrum链接似乎已消失。其他人在这里链接了这份报纸:https://penetrum.com/research。
所以这个帖子第三次爆炸了。在过去的24小时里,我已经回复了200多条回复和消息,但还没有通过聊天应用程序回复到80条左右的DM。不过,我打算很快拿到它们。我很快就会拼凑一个博客或其他东西,然后发布一些信息。一旦我有了这篇帖子,我会尽快更新的。