Check Point Research (CPR) nedávno odhalil zranitelnost v provozu "Hledání přátel" z Tik tak obcházet je ochrany soukromí.
ΑPokud by tato chyba zabezpečení nebyla vyřešena, umožnilo by to útočníkovi získat přístup k podrobnostem uživatelského profilu a telefonním číslům spojeným s jejich účtem, což by umožnilo vytvořit informační databázi pro použití v škodlivá činnost v budoucnu.
Vyšetřovatelé KPR dvakrát našli bezpečnostní chyby Tik tak. Mezi nejnovější profily zranitelnosti patří: telefonní číslo, přezdívka, profilové obrázky a avatar, jedinečná ID uživatelů a některá nastavení profilu, například zda je uživatel sledujícím nebo zda je jeho profil uzamčen.
Jak mohou vetřelci zneužít tuto chybu zabezpečení:
- Vytvořte seznam ID zařízení, která budou použita k vyhledávání serverů TikTok.
- Vytvořte seznam tokenů specifických pro tokeny (každý token je platný 60 dní), které budou použity k vyhledávání serverů TikTok.
- Obejít mechanismus podepisování zpráv HTTP TikTok pomocí jejich vlastní služby podepisování na pozadí.
- Propojte všechny výše uvedené úpravy úpravou požadavků HTTP, jejich ignorováním a použitím různých tokenů a ID zařízení k obejití ochranných mechanismů TikTok.
Kroky, které následovaly po Check Check Research a ByteDance…
CPR zodpovědně sdělila svá zjištění výrobci TikTok ByteDance. Pozitivní bylo, že jeho tvůrci Tik tak vyvinuli řešení, které zajistí, že uživatelé TikTok budou moci aplikaci nadále bezpečně používat.
Ve svém předchozím výzkumu o Tik tak, CPR v něm již dvakrát našel bezpečnostní nedostatky.
Dne 8. ledna 2020 zveřejnila CPR článek o souboru zranitelností, které by mohly agentovi hrozby umožnit přístup k osobním informacím.
uloženy v uživatelských účtech, manipulovat s informacemi o uživatelském účtu nebo jednat jménem uživatele bez jeho souhlasu.
Oded Vanunu, vedoucí výzkumu zranitelnosti produktů ve společnosti Check Bod uvedeno:
Narušitel s touto úrovní citlivých informací by se mohl dopustit řady škodlivých činností, jako je kybernetický rybolov nebo jiné trestné činnosti. Naším vzkazem uživatelům TikTok je sdílet jen málo svých osobních údajů. Stejně jako aktualizovat svůj operační systém a aplikace na nejnovější verze.
Mluvčí TikTok řekl:
Nezapomeňte se jím řídit Xiaomi-miui.gr na zprávy Google abyste byli okamžitě informováni o všech našich nových článcích!