Эксперты рекомендуют делиться минимум личной информацией
Уязвимость может позволить злоумышленникам создать базу данных с информацией о пользователях и их телефонных номерах.
Команда Check Point Research обнаружила новую уязвимость в TikTok, которая скрывалась в функции поиска друзей. В случае использования уязвимости злоумышленники могут получить доступ к профилю и номеру телефона
- Эксперты рекомендуют делиться минимум личной информацией
- Уязвимость может позволить злоумышленникам создать базу данных с информацией о пользователях и их телефонных номерах.
Команда Check Point Research обнаружила новую уязвимость в TikTok, которая скрывалась в функции поиска друзей. В случае использования уязвимости злоумышленники могут получить доступ к профилю и номеру телефона пользователя, создав базу данных для других вредоносных действий. Кроме того, можно было получить информацию о псевдонимах, изображения профиля или, например, уникальный идентификатор пользователя.
Описание эксплуатации уязвимости:
- Создайте список устройств (идентификаторов устройств), которые будут использоваться для запроса серверов TikTok.
- Создание списка токенов (каждый токен действителен 60 дней), которые будут использоваться для запросов на серверах TikTok.
- Обойти механизм подписи HTTP-сообщений с помощью настраиваемой службы подписи, работающей в фоновом режиме.
- Свяжите все шаги, изменив HTTP-запросы, повторно подписав их и используя разные токены и идентификаторы устройств, чтобы обойти механизмы защиты TikTok.
Check Point ответственно проинформировал ByteDance, создателя TikTok , о своих выводах . Впоследствии было развернуто решение, позволяющее пользователям TikTok безопасно использовать приложение.