Check Point Research (CPR) on äskettäin paljastanut toiminnassa olevan haavoittuvuuden "Kavereiden löytäminen" ja TikTok ohittamalla ne yksityisyyden suojat.
ΑJos tätä haavoittuvuutta ei korjattaisi, hyökkääjä voisi päästä käsiksi hänen tiliinsä liittyviin käyttäjäprofiilitietoihin ja puhelinnumeroihin, mikä mahdollistaisi tietokannan luomisen käytettäväksi ilkeä toiminta tulevaisuudessa.
CPR-tutkijat löysivät kahdesti tietoturvapuutteita TikTok. Uusimpia haavoittuvuusprofiileja ovat: puhelinnumero, lempinimi, profiilikuvat ja avatar, yksilölliset käyttäjätunnukset ja jotkin profiiliasetukset, kuten onko käyttäjä seuraaja vai onko hänen profiilinsa lukittu.
Kuinka tunkeilijat voivat hyödyntää tätä haavoittuvuutta:
- Luo luettelo laitetunnuksista, joita käytetään TikTok-palvelimien etsimiseen.
- Luo luettelo tunnistekohtaisista tunnuksista (jokainen tunnus on voimassa 60 päivää), joita käytetään TikTok-palvelimien etsimiseen.
- Ohita TikTokin HTTP-viestien allekirjoitusmekanismi heidän omalla taustaallekirjoituspalvelullaan.
- Yhdistä kaikki edellä mainitut muokkaamalla HTTP-pyyntöjä, jättämällä ne huomiotta ja käyttämällä erilaisia tunnuksia ja laitetunnuksia ohittaaksesi TikTok-suojausmekanismit.
Check Check Researchin ja ByteDancen jälkeiset vaiheet…
CPR ilmoitti vastuullisesti havainnoistaan TikTokin valmistajalle ByteDancelle. Positiivista oli, että sen tekijät TikTok ovat kehittäneet ratkaisun varmistaakseen, että TikTokin käyttäjät voivat jatkaa sovelluksen käyttöä turvallisesti.
Aiemmassa tutkimuksessaan aiheesta TikTok, CPR oli jo kahdesti löytänyt siitä tietoturvapuutteita.
8. tammikuuta 2020 CPR julkaisi asiakirjan haavoittuvuuksista, joiden avulla uhkatekijät voivat päästä käsiksi henkilökohtaisiin tietoihin.
tallennettuja käyttäjätilejä, manipuloida käyttäjätilin tietoja tai ryhtyä toimiin käyttäjän puolesta ilman hänen suostumustaan.
Oded Vanunu, Checkin tuotehaavoittuvuustutkimuksen johtaja Todettu kohta:
Tunkeutuja, jolla on näin arkaluonteisia tietoja, voi syyllistyä useisiin haitallisiin toimiin, kuten verkkokalastukseen tai muihin rikollisiin toimiin. Viestimme TikTokin käyttäjille on jakaa vähän henkilökohtaisia tietojaan. Sekä päivittää käyttöjärjestelmänsä ja sovelluksensa uusimpiin versioihin.
TikTokin tiedottaja sanoi:
Älä unohda seurata sitä Xiaomi-miui.gr at Google Uutiset saada heti tiedon kaikista uusista artikkeleistamme!