Цхецк Поинт Ресеарцх (ЦПР) је недавно открио рањивост у раду "Проналажење пријатеља" од ТикТок заобилазећи их заштите приватности.
ΑАко се ова рањивост не реши, то би омогућило нападачу да приступи детаљима корисничког профила и бројевима телефона који су повезани са њиховим налогом, што би омогућило креирање базе података за коришћење у злонамерне активности убудуће.
Истражитељи ЦПР-а су два пута пронашли безбедносне пропусте ТикТок. Најскорије доступни профили кроз рањивост укључују: број телефона, надимак, слике профила и аватар, јединствене корисничке ИД-ове и нека подешавања профила, као што је да ли је корисник пратилац или је његов профил закључан.
Како уљези могу да искористе ову рањивост:
- Направите листу ИД-ова уређаја који ће се користити за претрагу ТикТок сервера.
- Направите листу токена специфичних за токене (сваки токен важи 60 дана) који ће се користити за претрагу ТикТок сервера.
- Заобиђите ТикТок ХТТП механизам за потписивање порука користећи сопствену услугу потписивања у позадини.
- Повежите све горе наведено тако што ћете модификовати ХТТП захтеве, игнорисати их и користити различите токене и ИД-ове уређаја да бисте заобишли ТикТок заштитне механизме.
Кораци који су уследили Цхецк Цхецк Ресеарцх и БитеДанце…
ЦПР је одговорно открио своје налазе ТикТок произвођачу БитеДанце. Позитивно је то што су његови креатори ТикТок развили решење како би осигурали да корисници ТикТок-а могу да наставе да безбедно користе апликацију.
У свом претходном истраживању о ТикТок, ЦПР је већ два пута пронашао безбедносне пропусте у њему.
ЦПР је 8. јануара 2020. објавио рад о низу рањивости које би могле омогућити агенту претње да добије приступ личним подацима
чувају на корисничким налозима, манипулишу информацијама о корисничком налогу или предузимају радње у име корисника без његовог или њеног пристанка.
О Одед Вануну, шеф истраживања рањивости производа у компанији Цхецк Тачка је навела:
Уљез са овим нивоом осетљивих информација могао би починити бројне злонамерне активности, као што су сајбер риболов или друге криминалне активности. Наша порука корисницима ТикТок-а је да деле мало својих личних података. Као и да ажурирају свој оперативни систем и апликације на најновије верзије.
Портпарол ТикТок-а је рекао:
Не заборавите да га пратите Ксиаоми-миуи.гр у Гоогле вести да будете одмах обавештени о свим нашим новим чланцима!