Check Point Research (CPR) har for nylig afsløret en sårbarhed i drift "Find venner" af TikTok omgå dem beskyttelse af privatlivets fred.
ΑHvis denne sårbarhed ikke blev rettet, ville det give en hacker adgang til brugerprofiloplysninger og telefonnumre knyttet til deres konto, hvilket gør det muligt at oprette en informationsdatabase til brug i ondsindet aktivitet i fremtiden.
CPR-efterforskere fandt to gange sikkerhedsfejl i TikTok. De seneste sårbarhedsprofiler omfatter: telefonnummer, kaldenavn, profilbilleder og avatar, unikke bruger-id'er og nogle profilindstillinger, såsom om brugeren er en følger, eller om deres profil er låst.
Sådan kan ubudne gæster udnytte denne sårbarhed:
- Opret en liste over enheds-id'er, der vil blive brugt til at søge efter TikTok-servere.
- Opret en liste over token-specifikke tokens (hver token er gyldig i 60 dage), som vil blive brugt til at søge efter TikTok-servere.
- Omgå TikToks HTTP-meddelelsessigneringsmekanisme ved hjælp af deres egen baggrundssigneringstjeneste.
- Forbind alt ovenstående ved at ændre HTTP-anmodninger, ignorere dem og bruge forskellige tokens og enheds-id'er til at omgå TikTok-beskyttelsesmekanismer.
Trinene, der fulgte Check Check Research og ByteDance...
CPR afslørede ansvarligt sine resultater til TikTok-producenten ByteDance. Det positive var, at dets skabere TikTok har udviklet en løsning for at sikre, at TikTok-brugere kan fortsætte med at bruge applikationen sikkert.
I hendes tidligere forskning vedr TikTok, CPR havde allerede to gange fundet sikkerhedsfejl i det.
Den 8. januar 2020 offentliggjorde CPR et papir om en række sårbarheder, der kunne give en trusselagent adgang til personlige oplysninger
gemt på brugerkonti, manipulere brugerkontooplysninger eller handle på vegne af en bruger uden dennes samtykke.
Oded Vanunu, leder af produktsårbarhedsforskning hos Check Punktet sagde:
En ubuden gæst med dette niveau af følsomme oplysninger kan begå en række ondsindede aktiviteter, såsom cyberfiskeri eller andre kriminelle aktiviteter. Vores budskab til TikTok-brugere er at dele lidt af deres personlige data. Samt opdatere deres operativsystem og applikationer til de nyeste versioner.
En TikTok-talsmand sagde:
Glem ikke at følge den Xiaomi-miui.gr på Google Nyheder at blive informeret med det samme om alle vores nye artikler!