Check Point Research (CPR) ha revelat recentment una vulnerabilitat en funcionament "Trobar amics" de Tik Tok obviant-los proteccions de privadesa.
ΑSi aquesta vulnerabilitat no es solucionés, permetria a un atacant accedir als detalls del perfil d'usuari i als números de telèfon associats al seu compte, cosa que permetria crear una base de dades d'informació per utilitzar-la en activitat maliciosa en el futur.
Els investigadors de CPR van trobar dues vegades defectes de seguretat Tik Tok. Els darrers perfils de vulnerabilitat inclouen: número de telèfon, àlies, imatges de perfil i avatar, identificadors d'usuari únics i algunes configuracions del perfil, com ara si l'usuari és un seguidor o si el seu perfil està bloquejat.
Com els intrusos poden explotar aquesta vulnerabilitat:
- Creeu una llista d'identificadors de dispositiu que s'utilitzaran per cercar servidors de TikTok.
- Creeu una llista de fitxes específiques del testimoni (cada testimoni és vàlid durant 60 dies) que s'utilitzaran per cercar servidors de TikTok.
- Evita el mecanisme de signatura de missatges HTTP de TikTok utilitzant el seu propi servei de signatura de fons.
- Connecteu tot l'anterior modificant les sol·licituds HTTP, ignorant-les i utilitzant diversos testimonis i identificadors de dispositiu per evitar els mecanismes de protecció de TikTok.
Els passos que van seguir Check Check Research i ByteDance...
CPR va divulgar de manera responsable les seves troballes al fabricant de TikTok ByteDance. El positiu va ser que els seus creadors Tik Tok han desenvolupat una solució per garantir que els usuaris de TikTok puguin continuar utilitzant l'aplicació de manera segura.
En la seva investigació anterior sobre Tik Tok, CPR ja hi havia trobat dues vegades falles de seguretat.
El 8 de gener de 2020, CPR va publicar un document sobre un conjunt de vulnerabilitats que podrien permetre a un agent d'amenaça accedir a la informació personal
emmagatzemats als comptes d'usuari, manipular la informació del compte d'usuari o prendre accions en nom d'un usuari sense el seu consentiment.
Oded Vanunu, cap d'investigació de vulnerabilitat de producte a Check Punt afirmat:
Un intrús amb aquest nivell d'informació sensible podria cometre una sèrie d'activitats malicioses, com ara la pesca cibernètica o altres activitats delictives. El nostre missatge als usuaris de TikTok és compartir poca informació de les seves dades personals. Així com actualitzar el seu sistema operatiu i aplicacions a les últimes versions.
Un portaveu de TikTok va dir:
No us oblideu de seguir-lo Xiaomi-miui.gr en Google News per estar informat immediatament de tots els nostres nous articles!