Контакты Telegram: @recodepress

Привет, что ищешь?

Новости

Уязвимость в TikTok позволяла собирать личные данные пользователей

Исследователи из компании Check Point обнаружили проблему в безопасности TikTok. Найденный баг открываел доступ к данным профиля пользователя, в том числе к номеру телефона, уникальному ID, юзернейму, фотографии профиля, а также к некоторым настройкам, включая возможность скрыть профиль и управлять подписками. Сообщается, то в настоящее время разработчики уже устранили брешь в безопасности.

Корень проблемы крылся в функции «Найти друзей», основанной на синхронизацию контактов. Из-за этого баг касался лишь тех пользователей, которые решили связать свой номер телефона с учетной записью (что не является обязательным) или вошли в систему с помощью номера телефона.

Уязвимость работала следующим образом:

  • сначала требовалось подготовить список устройств (идентификаторов устройств) для запросов к серверам TikTok;
  • далее нужно было создать список токенов сеанса (каждый действителен в течение 60 дней), которые будут использоваться для запросов к серверам TikTok: одни и те же файлы cookie использовались для входа в систему в течение нескольких недель;
  • обойти механизм подписи HTTP-сообщений в TikTok, тем самым автоматизировав процесс загрузки и синхронизации контактов в любом масштабе;
  • о­бъединить все вышеописанное в цепочку, изменяя HTTP-запросы, и обходя электронную подпись;
  • использовать различные токены сеанса и идентификаторы устройств, чтобы обмануть защитные механизмы TikTok и поставить сбор данных на поток.

«В этот раз нашей основной задачей стало исследование защиты персональной информации в TikTok. Мы решили проверить, можно ли использовать платформу для получения личных данных пользователей. Оказалось, что можно. Нам удалось обойти несколько механизмов защиты TikTok, тем самым нарушив конфиденциальность приложения. Используя эту уязвимость, киберпреступники могли бы создать базу данных пользователей и их номеров телефонов. Обладатели этой информации получили бы возможность осуществлять целевые фишинговые атаки и другие преступные действия. Мы призываем пользователей TikTok указывать как можно меньше данных о себе и регулярно обновлять операционную систему и приложения до последней версии», — комментирует глава Check Point Software Technologies по исследованию уязвимостей продуктов Одед Вануну.

Напомню, что аналитики Check Point не впервые сообщают о проблемах в TikTok. В январе прошлого года исследователи опубликовали большой отчет, в котором рассказали о целом ряде уязвимостей в приложении. Баги позволяли злоумышленнику, который знал номер телефона жертвы, манипулировать чужими учетными записями и получать доступ к личным данным.

Оставить комментарий

Комментировать через социальные сети:

Advertisement

Рекомендованные

Бизнес

Вчера Павел Дуров написал в телеграм-канале о закрытии криптовалютного проекта Telegram Open Network (TON). В 2018 году Дуров привлек на разработку TON $1,7 млрд от ограниченного круга...

Бизнес

Ак Барс Банк подключился к блокчейн-платформе Федеральной налоговой службы РФ, которая способствует ускоренному рассмотрению банком заявок юридических лиц и индивидуальных предпринимателей, пострадавших от пандемии коронавирусной инфекции. Сервис позволяет...

Бизнес

Компания Hikvision совместно с облачным сервисом видеонаблюдения и видеоаналитики Ivideon представили линейку новых моделей IP-камер. Устройства имеют заводскую прошивку, которая обеспечивают доступ в облако Ivideon...

Стартапы

Евгений Касперский запускает акселератор для помощи стартапам в сфере туризма Kaspersky Exploring Russia. Создание проекта связано с эпидемией COVID-19, которая сильно повлияла не только...