Popularnu aplikaciju TikTok moguće je hakovati samo slanjem SMS poruke
Mobilni telefoni, 09.01.2020, 03:00 AM
Poznata kineska aplikacija TikTok, treća najpreuzimanija aplikacija u 2019. godini, imala je opasne ranjivosti koje su mogle omogućiti napadačima da preotmu bilo koji korisnički nalog samo ako znaju telefonski broj potencijalne žrtve.
Istraživači iz firme Check Point otkrili su da mogu daljinski pokrenuti maliciozni kod na uređaju na kome je instalirana aplikacija TikTok iskorišćavanjem nekoliko ranjivosti aplikacije.
Kombinovanjem ovih ranjivosti napadač može daljinski da obriše bilo koji video sa TikTok profila žrtve, da otpremi neovlašćene video snimke na TikTok profil žrtve, da privatne „skrivene“ video snimke učini javnim i otkrije lične podatke korisnika sačuvane na nalogu.
Napad koristi nesigurni SMS sistem koji TikTok nudi na svom web sajtu kako bi korisnici mogli da pošalju poruku na svoj telefonski broj sa linkom za preuzimanje aplikacije za deljenje video sadržaja.
Prema rečima istraživača, napadač može poslati SMS poruku na bilo koji telefonski broj u ime TikToka sa modifikovanim URL-om za preuzimanje ka zlonamernoj stranici dizajniranoj za pokretanje koda na ciljanom uređaju pomoću već instalirane aplikacije TikTok.
Hakeri mogu da izvrše JavaScript kod u ime žrtava čim kliknu na link koji je poslao TikTok server preko SMS-a.
“Preusmeravanjem korisnika na zlonamerni web sajt izvršiće se JavaScript kod i podneće se zahtevi Tiktoku sa kolačićima žrtava”, kažu istraživači.
Check Point je krajem novembra 2019. godine prijavio ove ranjivosti ByteDanceu, programeru TikToka, koji je potom izdao ispravljenu verziju aplikacije u roku od mesec dana kako bi zaštitio korisnike od eventualnih napada.
Ako ne koristite najnoviju verziju TikToka, preporuka je da aplikaciju ažurirate što pre.
Izdvojeno
Google je prošle godine sprečio objavljivanje 2,3 miliona potencijalno opasnih Android aplikacija na Google Play
Google je objavio da je prošle godine blokirao objavljivanje 2,28 miliona Android aplikacija na Google Play zbog toga što su kršile različite smer... Dalje
Brokewell je novi trojanac koji preuzima kontrolu nad zaraženim Android uređajima i krade podatke korisnika
Istraživači bezbednosti iz kompanije ThreatFabric otkrili su novog bankarskog trojanca za Android koga su nazvali Brokewell, koji može da snimi sva... Dalje
Bankarski malver sakriven u antivirusnoj aplikaciji
Istraživači kompanije Fox-IT otkrili su novu verziju bankarskog trojanca „Vultur“ za Android koja u odnosu na ranije verzije ima napredn... Dalje
Google uklonio 28 VPN aplikacija sa Google Play koje su Android telefone krišom pretvarale u proksije
Istraživači iz kompanije HUMAN pronašli su na Google Play 28 VPN aplikacija koje pretvaraju Android uređaje u rezidencijalne proksije koji se vero... Dalje
WhatsApp će blokirati skrinšotove za slike profila
WhatsApp je poslednjih godina uveo niz opcija da bi ojačao bezbednost platforme i korisnika. Tako na WhatsAppu možete da delite privatne fotografije... Dalje
Pratite nas
Nagrade