Check Point Research (CPR) heeft onlangs een kwetsbaarheid in werking aan het licht gebracht "Vrienden vinden" van TikTok ze omzeilen privacybescherming.
ΑAls dit beveiligingslek niet wordt verholpen, kan een aanvaller toegang krijgen tot gebruikersprofielgegevens en telefoonnummers die aan hun account zijn gekoppeld, waardoor het mogelijk wordt een informatiedatabase te creëren voor gebruik in kwaadaardige activiteit in de toekomst.
Reanimatie-onderzoekers hebben tweemaal beveiligingsfouten gevonden in TikTok. De meest recent toegankelijke profielen via het beveiligingslek zijn: telefoonnummer, bijnaam, profielfoto's en avatar, unieke gebruikers-ID's en enkele profielinstellingen, zoals of de gebruiker een volger is of dat zijn profiel is vergrendeld.
Hoe indringers dit beveiligingslek kunnen misbruiken:
- Maak een lijst met apparaat-ID's die worden gebruikt om naar TikTok-servers te zoeken.
- Maak een lijst met token-specifieke tokens (elk token is 60 dagen geldig) die zal worden gebruikt om naar TikTok-servers te zoeken.
- Omzeil het TikTok HTTP-berichtondertekeningsmechanisme met behulp van hun eigen ondertekeningsservice op de achtergrond.
- Verbind al het bovenstaande door HTTP-verzoeken te wijzigen, ze te negeren en verschillende tokens en apparaat-ID's te gebruiken om TikTok-beveiligingsmechanismen te omzeilen.
De stappen die volgden op Check Check Research en ByteDance...
CPR maakte haar bevindingen op verantwoorde wijze bekend aan TikTok-fabrikant ByteDance. Het positieve was dat de makers ervan TikTok hebben een oplossing ontwikkeld om ervoor te zorgen dat TikTok-gebruikers de applicatie veilig kunnen blijven gebruiken.
In haar eerdere onderzoek naar TikTok, had CPR er al twee keer beveiligingsfouten in gevonden.
Op 8 januari 2020 publiceerde CPR een paper over een reeks kwetsbaarheden waardoor een bedreigingsagent toegang zou kunnen krijgen tot persoonlijke informatie
opgeslagen in gebruikersaccounts, gebruikersaccountgegevens manipuleren of actie ondernemen namens een gebruiker zonder zijn of haar toestemming.
Oded Vanunu, hoofd onderzoek naar productkwetsbaarheid bij Check Punt vermeld:
Een indringer met dit niveau van gevoelige informatie zou een aantal kwaadaardige activiteiten kunnen plegen, zoals cyberfishing of andere criminele activiteiten. Onze boodschap aan TikTok-gebruikers is om weinig van hun persoonlijke gegevens te delen. Evenals het bijwerken van hun besturingssysteem en applicaties naar de nieuwste versies.
Een TikTok-woordvoerder zei:
Vergeet het niet te volgen Xiaomi-miui.gr bij Google Nieuws om direct op de hoogte te zijn van al onze nieuwe artikelen!