Check Point Research (CPR) наскоро разкри уязвимост в работата "Намиране на приятели" TikTok заобикаляйки ги защита на поверителността.
ΑАко тази уязвимост не бъде отстранена, това ще позволи на нападателя да получи достъп до подробности за потребителския профил и телефонни номера, свързани с техния акаунт, което ще направи възможно създаването на информационна база данни за използване в злонамерена дейност в бъдеще.
Разследващите CPR два пъти откриха пропуски в сигурността TikTok. Най-новите профили за уязвимост включват: телефонен номер, псевдоним, снимки на профил и аватар, уникални потребителски идентификатори и някои настройки на профила, като например дали потребителят е последовател или профилът му е заключен.
Как натрапниците могат да използват тази уязвимост:
- Създайте списък с идентификатори на устройства, които ще се използват за търсене на TikTok сървъри.
- Създайте списък със специфични токени (всеки токен е валиден за 60 дни), които ще се използват за търсене на TikTok сървъри.
- Заобиколете механизма за подписване на HTTP съобщения на TikTok, като използвате собствената им услуга за фоново подписване.
- Свържете всичко по-горе, като модифицирате HTTP заявки, игнорирате ги и използвате различни токени и идентификатори на устройства, за да заобиколите механизмите за защита на TikTok.
Стъпките, които последваха Check Check Research и ByteDance…
CPR отговорно разкри своите констатации на производителя на TikTok ByteDance. Положителното беше, че създателите му TikTok са разработили решение, за да гарантират, че потребителите на TikTok могат да продължат да използват приложението безопасно.
В предишното си изследване върху TikTok, CPR вече два пъти откри пропуски в сигурността в него.
На 8 януари 2020 г. CPR публикува документ за набор от уязвимости, които биха могли да позволят на агент за заплаха да получи достъп до лична информация
съхраняват в потребителски акаунти, манипулират информацията за потребителски акаунт или предприемат действия от името на потребител без неговото или нейното съгласие.
О Одед Вануну, ръководител на изследването на уязвимостта на продуктите в Check Посочената точка:
Натрапник с това ниво на чувствителна информация може да извърши редица злонамерени дейности, като кибер риболов или други престъпни дейности. Нашето послание към потребителите на TikTok е да споделят малко от личните си данни. Както и да актуализират своята операционна система и приложения до най-новите версии.
Говорител на TikTok каза:
Не забравяйте да го следвате Xiaomi-miui.gr в Google Новини да бъдете информирани незабавно за всички наши нови статии!
