Check Point Research (CPR) har nyligen avslöjat en sårbarhet i drift "Hitta vänner" av TikTok kringgå dem integritetsskydd.
ΑOm denna sårbarhet inte åtgärdades skulle det göra det möjligt för en angripare att komma åt användarprofildetaljer och telefonnummer kopplade till sitt konto, vilket gör det möjligt att skapa en informationsdatabas för användning i skadlig aktivitet i framtiden.
HLR-utredare hittade två gånger säkerhetsbrister i TikTok. De senaste sårbarhetsprofilerna inkluderar: telefonnummer, smeknamn, profilbilder och avatar, unika användar-ID och vissa profilinställningar, till exempel om användaren är en följare eller om deras profil är låst.
Hur inkräktare kan utnyttja denna sårbarhet:
- Skapa en lista över enhets-ID:n som kommer att användas för att söka efter TikTok-servrar.
- Skapa en lista med tokenspecifika tokens (varje token är giltig i 60 dagar) som kommer att användas för att söka efter TikTok-servrar.
- Gå förbi TikToks HTTP-meddelandesigneringsmekanism med deras egen bakgrundssigneringstjänst.
- Anslut allt ovan genom att ändra HTTP-förfrågningar, ignorera dem och använda olika tokens och enhets-ID:n för att kringgå TikTok-skyddsmekanismer.
Stegen som följde Check Check Research och ByteDance...
CPR avslöjade på ett ansvarsfullt sätt sina resultat till TikTok-tillverkaren ByteDance. Det positiva var att dess skapare TikTok har utvecklat en lösning för att säkerställa att TikTok-användare kan fortsätta att använda applikationen på ett säkert sätt.
I hennes tidigare forskning om TikTok, HLR hade redan två gånger hittat säkerhetsbrister i den.
Den 8 januari 2020 publicerade CPR ett dokument om en uppsättning sårbarheter som kan göra det möjligt för en hotagent att få tillgång till personlig information
lagras i användarkonton, manipulera användarkontoinformation eller vidta åtgärder för en användares räkning utan hans eller hennes medgivande.
Oded Vanunu, chef för produktsårbarhetsforskning på Check Punkten sa:
En inkräktare med denna nivå av känslig information kan begå ett antal skadliga aktiviteter, såsom cyberfiske eller andra kriminella aktiviteter. Vårt budskap till TikTok-användare är att dela lite av sina personuppgifter. Samt uppdatera deras operativsystem och applikationer till de senaste versionerna.
En TikTok-talesman sa:
Glöm inte att följa den Xiaomi-miui.gr vid Google Nyheter för att omedelbart bli informerad om alla våra nya artiklar!