Check Point Research (CPR) har nylig avslørt en sårbarhet i drift "Finne venner" av TikTok omgå dem personvern.
ΑHvis dette sikkerhetsproblemet ikke ble løst, ville det gi en angriper tilgang til brukerprofildetaljer og telefonnumre knyttet til kontoen deres, noe som gjør det mulig å opprette en informasjonsdatabase for bruk i ondsinnet aktivitet i fremtiden.
HLR-etterforskere fant to ganger sikkerhetsfeil i TikTok. De siste sårbarhetsprofilene inkluderer: telefonnummer, kallenavn, profilbilder og avatar, unike bruker-IDer og noen profilinnstillinger, for eksempel om brukeren er en følger eller profilen er låst.
Hvordan inntrengere kan utnytte denne sårbarheten:
- Lag en liste over enhets-IDer som skal brukes til å søke etter TikTok-servere.
- Lag en liste over token-spesifikke tokens (hver token er gyldig i 60 dager) som skal brukes til å søke etter TikTok-servere.
- Omgå TikTok HTTP-meldingssigneringsmekanismen ved å bruke deres egen bakgrunnssigneringstjeneste.
- Koble til alt det ovennevnte ved å endre HTTP-forespørsler, ignorere dem og bruke ulike tokens og enhets-IDer for å omgå TikTok-beskyttelsesmekanismer.
Trinnene som fulgte Check Check Research og ByteDance...
HLR avslørte på en ansvarlig måte funnene sine til TikTok-produsenten ByteDance. Det positive var at dets skapere TikTok har utviklet en løsning for å sikre at TikTok-brukere kan fortsette å bruke applikasjonen trygt.
I hennes tidligere forskning på TikTok, HLR hadde allerede to ganger funnet sikkerhetsfeil i den.
8. januar 2020 publiserte HLR en artikkel om et sett med sårbarheter som kan tillate en trusselagent å få tilgang til personlig informasjon
lagret i brukerkontoer, manipulere brukerkontoinformasjon eller iverksette tiltak på vegne av en bruker uten hans eller hennes samtykke.
Oded Vanunu, leder for produktsårbarhetsforskning i Check Punktet sa:
En inntrenger med dette nivået av sensitiv informasjon kan begå en rekke ondsinnede aktiviteter, for eksempel nettfiske eller andre kriminelle aktiviteter. Vår melding til TikTok-brukere er å dele lite av deres personlige data. Samt oppdatere deres operativsystem og applikasjoner til de nyeste versjonene.
En TikTok-talsmann sa:
Ikke glem å følge den Xiaomi-miui.gr på Google Nyheter å bli informert umiddelbart om alle våre nye artikler!