Popularnu aplikaciju TikTok moguće je hakovati samo slanjem SMS poruke

Mobilni telefoni, 09.01.2020, 03:00 AM

Popularnu aplikaciju TikTok moguće je hakovati samo slanjem SMS poruke

Poznata kineska aplikacija TikTok, treća najpreuzimanija aplikacija u 2019. godini, imala je opasne ranjivosti koje su mogle omogućiti napadačima da preotmu bilo koji korisnički nalog samo ako znaju telefonski broj potencijalne žrtve.

Istraživači iz firme Check Point otkrili su da mogu daljinski pokrenuti maliciozni kod na uređaju na kome je instalirana aplikacija TikTok iskorišćavanjem nekoliko ranjivosti aplikacije.

Kombinovanjem ovih ranjivosti napadač može daljinski da obriše bilo koji video sa TikTok profila žrtve, da otpremi neovlašćene video snimke na TikTok profil žrtve, da privatne „skrivene“ video snimke učini javnim i otkrije lične podatke korisnika sačuvane na nalogu.

Napad koristi nesigurni SMS sistem koji TikTok nudi na svom web sajtu kako bi korisnici mogli da pošalju poruku na svoj telefonski broj sa linkom za preuzimanje aplikacije za deljenje video sadržaja.

Prema rečima istraživača, napadač može poslati SMS poruku na bilo koji telefonski broj u ime TikToka sa modifikovanim URL-om za preuzimanje ka zlonamernoj stranici dizajniranoj za pokretanje koda na ciljanom uređaju pomoću već instalirane aplikacije TikTok.

Hakeri mogu da izvrše JavaScript kod u ime žrtava čim kliknu na link koji je poslao TikTok server preko SMS-a.

“Preusmeravanjem korisnika na zlonamerni web sajt izvršiće se JavaScript kod i podneće se zahtevi Tiktoku sa kolačićima žrtava”, kažu istraživači.

Check Point je krajem novembra 2019. godine prijavio ove ranjivosti ByteDanceu, programeru TikToka, koji je potom izdao ispravljenu verziju aplikacije u roku od mesec dana kako bi zaštitio korisnike od eventualnih napada.

Ako ne koristite najnoviju verziju TikToka, preporuka je da aplikaciju ažurirate što pre.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

11 aplikacija u kojima je pronađen poznati malver Joker uklonjeno iz Google Play prodavnice

11 aplikacija u kojima je pronađen poznati malver Joker uklonjeno iz Google Play prodavnice

Istraživači iz firme Check Point otkrili su novu verziju malvera Joker u aplikacijama za Android uređaje. Sakrivena u naizgled legitimnim aplikacij... Dalje

Bankarski trojanac Cerberus pronađen u Google Play prodavnici

Bankarski trojanac Cerberus pronađen u Google Play prodavnici

U Google Play prodavnici otkrivena je Android aplikacija u kojoj je bio sakriven bankarski trojanac Cerberus. Aplikacija ima 10000 preuzimanja. Istra... Dalje

Korisnici Androida sve češće su žrtve malvera i adwarea koje je nemoguće ukloniti sa uređaja

Korisnici Androida sve češće su žrtve malvera i adwarea koje je nemoguće ukloniti sa uređaja

Istraživači kompanije Kaspersky kažu da su na 14,8% Android uređaja koji su prošle godine bili na meti zlonamernog softvera (malvera) ili adwarea... Dalje

Android malver FakeSpy se ponovo širi preko SMS poruka koje sadrže linkove

Android malver FakeSpy se ponovo širi preko SMS poruka koje sadrže linkove

Moćni Android malver FakeSpy se vratio. Malver koji može da ukrade podatke o bankovnom računu, lične podatke, privatnu komunikaciju korisnika i jo... Dalje

Google iz Play prodavnice uklonio 25 Android aplikacija koje su krale lozinke za Facebook naloge korisnika

Google iz Play prodavnice uklonio 25 Android aplikacija koje su krale lozinke za Facebook naloge korisnika

Google je uklonio 25 Android aplikacija iz Google Play prodavnice koje su uhvaćene u krađi korisničkih imena i lozinki za prijavu na Facebook nalo... Dalje