Check Point Research (CPR) недавно выявила уязвимость в работе «В поисках друзей» из TikTok обходя их защита конфиденциальности.
ΑЕсли эта уязвимость не будет устранена, злоумышленник сможет получить доступ к сведениям профиля пользователя и номерам телефонов, связанным с их учетной записью, что позволит создать информационную базу данных для использования в злоумышленная деятельность в будущем
Следователи CPR дважды обнаружили недостатки безопасности в TikTok. Последние профили уязвимостей включают в себя: номер телефона, псевдоним, изображения профиля и аватар, уникальные идентификаторы пользователей и некоторые настройки профиля, например, является ли пользователь подписчиком или его профиль заблокирован.
Как злоумышленники могут воспользоваться этой уязвимостью:
- Создайте список идентификаторов устройств, которые будут использоваться для поиска серверов TikTok.
- Создайте список токенов для конкретных токенов (каждый токен действителен в течение 60 дней), которые будут использоваться для поиска серверов TikTok.
- Обходите механизм подписи HTTP-сообщений TikTok, используя собственную службу фоновой подписи.
- Подключите все вышеперечисленное, изменив HTTP-запросы, игнорируя их и используя различные токены и идентификаторы устройств для обхода механизмов защиты TikTok.
Шаги, которые следовали за Check Check Research и ByteDance…
CPR ответственно раскрыл свои выводы производителю TikTok ByteDance. Положительным было то, что его создатели TikTok разработали решение, гарантирующее, что пользователи TikTok могут и дальше безопасно использовать приложение.
В ее предыдущем исследовании TikTok, CPR уже дважды обнаружил в нем бреши в безопасности.
8 января 2020 года CPR опубликовал документ о наборе уязвимостей, которые могут позволить злоумышленнику получить доступ к личной информации.
хранятся в учетных записях пользователей, манипулировать информацией учетных записей пользователей или предпринимать действия от имени пользователя без его согласия.
О Одед Вануну, руководитель отдела исследования уязвимостей продуктов компании Check В пункте говорилось:
Злоумышленник с таким уровнем конфиденциальной информации может совершить ряд злонамеренных действий, таких как киберфишинг или другие преступные действия. Мы обращаемся к пользователям TikTok с просьбой не делиться своими личными данными. А также обновить свою операционную систему и приложения до последних версий.
Представитель TikTok сказал:
Не забывай следить за ним Xiaomi-miui.gr в Новости Google быть в курсе всех наших новых статей!