Popularnu aplikaciju TikTok moguće je hakovati samo slanjem SMS poruke

Mobilni telefoni, 09.01.2020, 03:00 AM

Popularnu aplikaciju TikTok moguće je hakovati samo slanjem SMS poruke

Poznata kineska aplikacija TikTok, treća najpreuzimanija aplikacija u 2019. godini, imala je opasne ranjivosti koje su mogle omogućiti napadačima da preotmu bilo koji korisnički nalog samo ako znaju telefonski broj potencijalne žrtve.

Istraživači iz firme Check Point otkrili su da mogu daljinski pokrenuti maliciozni kod na uređaju na kome je instalirana aplikacija TikTok iskorišćavanjem nekoliko ranjivosti aplikacije.

Kombinovanjem ovih ranjivosti napadač može daljinski da obriše bilo koji video sa TikTok profila žrtve, da otpremi neovlašćene video snimke na TikTok profil žrtve, da privatne „skrivene“ video snimke učini javnim i otkrije lične podatke korisnika sačuvane na nalogu.

Napad koristi nesigurni SMS sistem koji TikTok nudi na svom web sajtu kako bi korisnici mogli da pošalju poruku na svoj telefonski broj sa linkom za preuzimanje aplikacije za deljenje video sadržaja.

Prema rečima istraživača, napadač može poslati SMS poruku na bilo koji telefonski broj u ime TikToka sa modifikovanim URL-om za preuzimanje ka zlonamernoj stranici dizajniranoj za pokretanje koda na ciljanom uređaju pomoću već instalirane aplikacije TikTok.

Hakeri mogu da izvrše JavaScript kod u ime žrtava čim kliknu na link koji je poslao TikTok server preko SMS-a.

“Preusmeravanjem korisnika na zlonamerni web sajt izvršiće se JavaScript kod i podneće se zahtevi Tiktoku sa kolačićima žrtava”, kažu istraživači.

Check Point je krajem novembra 2019. godine prijavio ove ranjivosti ByteDanceu, programeru TikToka, koji je potom izdao ispravljenu verziju aplikacije u roku od mesec dana kako bi zaštitio korisnike od eventualnih napada.

Ako ne koristite najnoviju verziju TikToka, preporuka je da aplikaciju ažurirate što pre.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Zbog bagova u aplikaciji Find My Mobile, Samsung telefoni podložni napadima

Zbog bagova u aplikaciji Find My Mobile, Samsung telefoni podložni napadima

U “Find My Mobile”, Android aplikaciji koja je instalirana na većini Samsung pametnih telefona, otkriven je niz ozbiljnih bezbednosnih p... Dalje

TikTok prikupljao MAC adrese korisnika Androida uprkos Googleovoj zaštiti koja treba to da spreči

TikTok prikupljao MAC adrese korisnika Androida uprkos Googleovoj zaštiti koja treba to da spreči

TikTok je prikupljao MAC adrese korisnika Android uređaja uprkos nizu zaštita koje primenjuje Google kako bi ograničio aplikacije u praćenju koris... Dalje

Twitter za Android ima bag koji omogućava napadačima da pristupe privatnim porukama korisnika

Twitter za Android ima bag koji omogućava napadačima da pristupe privatnim porukama korisnika

Twitter je objavio da je popravio bezbednosni propust u aplikaciji Twitter za Android koji bi mogao omogućiti napadačima da dobiju pristup privatni... Dalje

Slabosti u popularnoj aplikaciji za upoznavanje OkCupid mogu omogućiti hakerima da čitaju poruke korisnika

Slabosti u popularnoj aplikaciji za upoznavanje OkCupid mogu omogućiti hakerima da čitaju poruke korisnika

Istraživači kompanije Check Point upozorili su na nekoliko bezbednosnih problema na popularnoj platformi za online upoznavanje OkCupid koji mogu omo... Dalje

iOS14 otkrio: Instagram uključuje kameru čak i dok samo gledate fotografije u aplikaciji

iOS14 otkrio: Instagram uključuje kameru čak i dok samo gledate fotografije u aplikaciji

Posle baga koji je otkriven u Firefoxu za Android zbog koga kamera telefona ostaje aktivna kada aplikacija radi u pozadini ili čak i kada je telefon ... Dalje