A Check Point Research (CPR) revelou recentemente uma vulnerabilidade em operação "Encontrar amigos" de TikTok contornando-os proteções de privacidade.
ΑSe esta vulnerabilidade não fosse corrigida, permitiria que um invasor acesse detalhes de perfil de usuário e números de telefone associados a sua conta, tornando possível criar um banco de dados de informações para uso em atividade maliciosa no futuro.
Investigadores de CPR encontraram duas vezes falhas de segurança em TikTok. Os perfis de vulnerabilidade mais recentes incluem: número de telefone, apelido, imagens de perfil e avatar, IDs de usuário exclusivos e algumas configurações de perfil, como se o usuário é um seguidor ou se seu perfil está bloqueado.
Como os invasores podem explorar esta vulnerabilidade:
- Crie uma lista de IDs de dispositivos que serão usados para pesquisar servidores TikTok.
- Crie uma lista de tokens específicos de token (cada token é válido por 60 dias) que serão usados para pesquisar servidores TikTok.
- Ignore o mecanismo de assinatura de mensagem HTTP do TikTok usando seu próprio serviço de assinatura em segundo plano.
- Conecte todos os itens acima modificando as solicitações HTTP, ignorando-as e usando vários tokens e IDs de dispositivo para contornar os mecanismos de proteção do TikTok.
As etapas que se seguiram Check Check Research and ByteDance ...
A CPR revelou responsavelmente suas descobertas ao fabricante da TikTok, ByteDance. O positivo é que seus criadores TikTok desenvolveram uma solução para garantir que os usuários do TikTok possam continuar a usar o aplicativo com segurança.
Em sua pesquisa anterior sobre TikTok, O CPR já havia encontrado falhas de segurança nele duas vezes.
Em 8 de janeiro de 2020, o CPR publicou um artigo sobre um conjunto de vulnerabilidades que poderiam permitir que um agente de ameaça obtivesse acesso a informações pessoais
armazenados em contas de usuários, manipulam informações de contas de usuários ou realizam ações em nome de um usuário sem o seu consentimento.
Oded Vanunu, chefe de pesquisa de vulnerabilidade de produto da Check Ponto declarado:
Um intruso com este nível de informação sensível pode cometer uma série de atividades maliciosas, como pesca cibernética ou outras atividades criminosas. Nossa mensagem para os usuários do TikTok é compartilhar poucos de seus dados pessoais. Além de atualizar seu sistema operacional e aplicativos para as versões mais recentes.
Um porta-voz da TikTok disse:
Não se esqueça de seguir Xiaomi-miui.gr em Google News para ser informado imediatamente sobre todos os nossos novos artigos!