Check Point Research (CPR) a dezvăluit recent o vulnerabilitate în funcțiune „Găsirea prietenilor” του TIC-tac ocolindu-le protecția vieții private.
ΑDacă această vulnerabilitate nu ar fi rezolvată, ar permite unui atacator să acceseze detaliile profilului utilizatorului și numerele de telefon asociate contului său, făcând posibilă crearea unei baze de date de informații pentru utilizare în activitate rău intenționată in viitor.
Anchetatorii CPR au găsit de două ori defecte de securitate TIC-tac. Cele mai recente profiluri de vulnerabilitate includ: număr de telefon, porecla, imagini de profil și avatar, ID-uri unice de utilizator și unele setări de profil, cum ar fi dacă utilizatorul este un urmăritor sau profilul său este blocat.
Cum pot exploata intrușii această vulnerabilitate:
- Creați o listă de ID-uri de dispozitiv care vor fi folosite pentru a căuta servere TikTok.
- Creați o listă de jetoane specifice pentru token (fiecare token este valabil timp de 60 de zile) care va fi folosită pentru a căuta servere TikTok.
- Ocoliți mecanismul de semnare a mesajelor HTTP TikTok folosind propriul serviciu de semnare în fundal.
- Conectați toate cele de mai sus modificând cererile HTTP, ignorându-le și folosind diverse jetoane și ID-uri de dispozitiv pentru a ocoli mecanismele de protecție TikTok.
Pașii care au urmat Check Check Research și ByteDance...
CPR și-a dezvăluit în mod responsabil descoperirile producătorului TikTok ByteDance. Aspectul pozitiv a fost că creatorii săi TIC-tac au dezvoltat o soluție pentru a se asigura că utilizatorii TikTok pot continua să folosească aplicația în siguranță.
În cercetările ei anterioare despre TIC-tac, CPR găsise deja de două ori defecte de securitate în ea.
La 8 ianuarie 2020, CPR a publicat o lucrare despre un set de vulnerabilități care ar putea permite unui agent de amenințare să acceseze informații personale
stocate în conturile de utilizator, manipulează informațiile contului utilizatorului sau iau măsuri în numele unui utilizator fără consimțământul acestuia.
Oded Vanunu, șeful departamentului de cercetare privind vulnerabilitatea produselor la Check Punctul a spus:
Un intrus cu acest nivel de informații sensibile ar putea comite o serie de activități rău intenționate, cum ar fi pescuitul cibernetic sau alte activități criminale. Mesajul nostru către utilizatorii TikTok este să împărtășim puține dintre datele lor personale. Precum și să-și actualizeze sistemul de operare și aplicațiile la cele mai recente versiuni.
Un purtător de cuvânt TikTok a spus:
Nu uitați să-l urmați Xiaomi-miui.gr la Știri Google pentru a fi informat imediat despre toate articolele noastre noi!