- Martin Pokorný
- PC / Notebooky
- 31. ledna 2021
- 13:15
Zranitelnost v TikToku ohrožovala podle expertů soukromí uživatelů
Kromě toho bylo možné podle výzkumného týmu společnosti Check Point Software Technologies získat informace o přezdívce, profilové obrázky nebo například unikátní ID uživatele.
Popis zneužití zranitelnosti
1. Vytvoření seznamu zařízení (ID zařízení), která budou použita k dotazování na servery TikTok.
2. Vytvoření seznamu tokenů (každý token je platný po dobu 60 dnů), které budou použity pro dotazy na serverech TikTok.
3. Obejití mechanismu pro podepisování HTTP zpráv pomocí vlastní podpisové služby spuštěné na pozadí.
4. Propojení všech kroků úpravou HTTP požadavků, jejich znovu podepsání a použití různých tokenů a ID zařízení k obejití ochranných mechanismů TikToku.
Check Point o svých zjištěních informoval společnost ByteDance, tvůrce TikToku. Následně bylo nasazeno řešení, které uživatelům TikToku umožňuje bezpečné používání aplikace.
Check Point už dříve odhalil jiné zranitelnosti, které mohli hackeři zneužít ke krádežím osobních informací a manipulaci s účty obětí.
„Snažili jsme se tentokrát prozkoumat ochranu soukromí na TikToku. Byli jsme zvědaví, zda lze platformu TikTok použít k získání soukromých uživatelských dat. Ukázalo se, že ano, protože jsme pomocí objevené zranitelnosti dokázali obejít několik ochranných mechanismů TikToku. Zranitelnost mohla útočníkům umožnit vytvořit databázi informací o uživatelích a jejich telefonních čísel. Hackeři by podobná citlivá data mohli zneužít k celé řadě škodlivých aktivit, jako je spearphishing nebo jiná trestná činnost. Doporučujeme pro jistotu sdílet na TikToku minimum osobních informací. Zároveň aktualizujte svůj operační systém, stejně jako používat vždy nejnovější verze aplikací,“ říká Peter Kovalčík ze společnosti Check Point.
Sdílení
Twitter
Komentáře
Email