מחקר צ'ק פוינט (CPR) חשף לאחרונה פגיעות בפעולה "מוצאים חברים" של טיק טוק עוקף אותם הגנת הפרטיות.
Αאם פגיעות זו לא טופלה, הדבר יאפשר לתוקף לגשת לפרטי פרופיל משתמש ומספרי טלפון המשויכים לחשבון שלו, מה שיאפשר ליצור מסד נתונים לשימוש ב פעילות זדונית בעתיד.
חוקרי החייאה מצאו פעמיים פגמי אבטחה טיק טוק. פרופילי הפגיעות האחרונים כוללים: מספר טלפון, כינוי, תמונות פרופיל ואווטאר, מזהי משתמש ייחודיים וכמה הגדרות פרופיל, כגון האם המשתמש הוא עוקב או שהפרופיל שלו נעול.
כיצד פולשים יכולים לנצל את הפגיעות הזו:
- צור רשימה של מזהי מכשירים שישמשו לחיפוש שרתי TikTok.
- צור רשימה של אסימונים ספציפיים לאסימונים (כל אסימון תקף למשך 60 יום) שישמשו לחיפוש שרתי TikTok.
- עוקפים את מנגנון חתימת ההודעות של TikTok HTTP באמצעות שירות חתימת רקע משלהם.
- חבר את כל האמור לעיל על ידי שינוי בקשות HTTP, התעלמות מהן ושימוש באסימונים ומזהי מכשירים שונים כדי לעקוף את מנגנוני ההגנה של TikTok.
השלבים שבאו בעקבות Check Check Research ו- ByteDance...
CPR חשפה באחריות את ממצאיה ליצרן TikTok ByteDance. החיובי היה שיוצריו טיק טוק פיתחו פתרון כדי להבטיח שמשתמשי TikTok יוכלו להמשיך להשתמש באפליקציה בבטחה.
במחקר הקודם שלה על טיק טוק, החייאה כבר מצאה בו פגמי אבטחה פעמיים.
ב-8 בינואר 2020, החייאה פרסמה מאמר על סדרה של פגיעויות שעלולות לאפשר לסוכן איום לקבל גישה למידע אישי
מאוחסן בחשבונות משתמש, לתפעל את פרטי חשבון המשתמש או לנקוט בפעולה בשם משתמש ללא הסכמתו.
הו עודד ואנונו, ראש חקר פגיעות מוצרים בצ'ק נקודה נאמרה:
פולש בעל רמה כזו של מידע רגיש עלול לבצע מספר פעילויות זדוניות, כגון דיג סייבר או פעילויות פליליות אחרות. המסר שלנו למשתמשי TikTok הוא לשתף מעט מהנתונים האישיים שלהם. כמו גם לעדכן את מערכת ההפעלה והאפליקציות שלהם לגרסאות העדכניות ביותר.
דובר TikTok אמר:
אל תשכח לעקוב אחריו Xiaomi-miui.gr ב חדשות גוגל לקבל מידע מיידי על כל המאמרים החדשים שלנו!
