Check Point Research (CPR) ha recentemente rivelato una vulnerabilità operativa "Trovare amici" di TikTok bypassandoli protezione della privacy.
ΑSe questa vulnerabilità non venisse risolta, consentirebbe a un utente malintenzionato di accedere ai dettagli del profilo utente e ai numeri di telefono associati al proprio account, rendendo possibile la creazione di un database di informazioni da utilizzare in attività dannosa nel futuro.
Gli investigatori della RCP hanno riscontrato due volte falle di sicurezza in TikTok. I profili accessibili più di recente tramite la vulnerabilità includono: numero di telefono, nickname, immagini del profilo e avatar, ID utente univoci e alcune impostazioni del profilo, ad esempio se l'utente è un follower o se il suo profilo è bloccato.
In che modo gli intrusi possono sfruttare questa vulnerabilità:
- Crea un elenco di ID dispositivo che verranno utilizzati per cercare i server TikTok.
- Crea un elenco di token specifici del token (ogni token è valido per 60 giorni) che verrà utilizzato per cercare i server TikTok.
- Bypassa il meccanismo di firma dei messaggi HTTP di TikTok utilizzando il proprio servizio di firma in background.
- Connetti tutto quanto sopra modificando le richieste HTTP, ignorandole e utilizzando vari token e ID dispositivo per aggirare i meccanismi di protezione di TikTok.
I passaggi successivi Check Check Research e ByteDance...
CPR ha responsabilmente divulgato i suoi risultati al produttore di TikTok ByteDance. Il lato positivo è che i suoi creatori TikTok hanno sviluppato una soluzione per garantire che gli utenti di TikTok possano continuare a utilizzare l'applicazione in sicurezza.
Nella sua precedente ricerca su TikTok, CPR aveva già riscontrato due volte falle di sicurezza.
L'8 gennaio 2020, CPR ha pubblicato un documento su una serie di vulnerabilità che potrebbero consentire a un agente di minaccia di accedere alle informazioni personali
memorizzati negli account utente, manipolare le informazioni sull'account utente o agire per conto di un utente senza il suo consenso.
Oh Oded Vanunu, responsabile della ricerca sulle vulnerabilità dei prodotti presso Check Il punto ha dichiarato:
Un intruso con questo livello di informazioni sensibili potrebbe commettere una serie di attività dannose, come la pesca informatica o altre attività criminali. Il nostro messaggio agli utenti di TikTok è di condividere poco dei loro dati personali. Oltre ad aggiornare il loro sistema operativo e le applicazioni alle ultime versioni.
Un portavoce di TikTok ha dichiarato:
Non dimenticare di seguirlo Xiaomi-miui.gr a Google News per essere subito informato su tutti i nostri nuovi articoli!