Bag u TikToku otkriva brojeve telefona i privatne podatke korisnika

Vesti, 27.01.2021, 10:00 AM

Bag u TikToku otkriva brojeve telefona i privatne podatke korisnika

Istraživači Check Pointa otkrili su sigurnosnu ranjivost u TikToku koja je, pre nego što je problem rešen, omogućavala napadačima da zaobiđu zaštitu privatnosti platforme i pristupe privatnim ličnim podacima korisnika, uključujući i brojeve telefona i korisničke ID-jeve.

„Podaci o profilu kojima je bilo moguće pristupiti preko ove ranjivosti uključuju telefonski broj, nadimak, slike profila i avatar, jedinstvene korisničke ID-jeve, kao i određena podešavanja profila“, kažu iz Check Pointa.

Podaci o korisnicima koji bi se mogli prikupiti mogli su se kasnije koristiti za pokretanje spear phishing napada i za druge vrste zlonamernih aktivnosti.

Ovaj bag uticao je samo na one korisnike TikToka koji su povezali telefonski broj sa svojim nalogom ili su se prijavili sa telefonskim brojem.

TikTok je izdao zakrpu nakon što je obavešten o bagu u aplikaciji.

Greška je zapravo u TikTokovoj funkciji „Pronađi prijatelje“ koja omogućava korisnicima da sinhronizuju svoje kontakte sa servisom kako bi pronašli ljude koje bi možda želeli da prate.

Kontakti se šalju TikToku putem HTTP zahteva u formatu liste koja se sastoji od heširanih imena kontakata i odgovarajućih brojeva telefona.

Aplikacija u sledećem koraku šalje drugi HTTP zahtev koji preuzima TikTok profile povezane sa telefonskim brojevima poslatim u prethodnom zahtevu. Ovaj odgovor uključuje imena profila, brojeve telefona, fotografije i druge informacije povezane sa profilom.

Iako su zahtevi za otpremanje i sinhronizaciju ograničeni na 500 kontakata dnevno, po korisniku i po uređaju, istraživači Check Pointa pronašli su način da zaobiđu ovo ograničenje pomoću identifikatora uređaja, kolačića sesije koje je server postavio, jedinstvenog tokena nazvanog „X-Tt-Token“ koji se podešava prilikom prijave na nalog SMS-om i simuliraju čitav proces iz emulatora koji radi na Androidu 6.0.1.

Bag je omogućio istraživačima automatizaciju postupka učitavanja i sinhronizacije kontakata u velikom obimu i stvaranje baze podataka naloga i povezanih brojeva telefona.

Ovo nije prvo otkriće ranjivosti TikToka za istraživače Check Pointa. U januaru 2020. oni su otkrili više ranjivosti u aplikaciji TikTok koje su mogle biti iskorišćene da bi se manipulisalo sadržajem korisničkih naloga, uključujući brisanje videa, postavljanje novih videa po izboru napadača, objavljivanje privatnih „skrivenih“ video snimaka i otkrivanje ličnih podataka sačuvanih na nalogu.

TikTok je prošlog oktobra ušao u partnerstvo sa HackerOne kako bi pomogao korisnicima i profesionalcima da prijave tehničke probleme sa platformom. Kritične ranjivosti (CVSS ocena 9 - 10) ispunjavaju uslove za nagrade u iznosu od 6900 do 14800 dolara..

„Naša primarna motivacija ovog puta, bila je da istražimo privatnost TikToka“, rekao je Oded Vanunu, šef istraživanja ranjivosti proizvoda u Check Pointu. “Bili smo znatiželjni da vidimo da li se TikTok platforma može koristiti za prikupljanje privatnih podataka korisnika. Ispostavilo se da je odgovor bio potvrdan, jer smo uspeli da zaobiđemo višestruke zaštitne mehanizme TikToka što vodi narušavanju privatnosti. Napadač sa takvim osetljivim informacijama mogao bi da izvrši čitav niz zlonamernih aktivnosti, kao što je spear phishing ili druge kriminalne aktivnosti.“


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Lažna banda DarkSide ucenjuje kompanije

Lažna banda DarkSide ucenjuje kompanije

Prošlog meseca grupa koja stoji iza ransomwarea DarkSide napala je Colonial Pipeline, najveći naftovod u Sjedinjenim Državama. Napad je bio toliko... Dalje

Posle nedavnih hapšenja ransomware Clop ponovo u igri

Posle nedavnih hapšenja ransomware Clop ponovo u igri

Ransomware Clop je ponovo u igri - nakon nedavnih hapšenja, grupa koja stoji iza ovog ransomwarea je počela da navodi nove žrtve na svom sajtu gde ... Dalje

Rusija zabranila upotrebu Opera VPN i VyprVPN i označila ih kao pretnje

Rusija zabranila upotrebu Opera VPN i VyprVPN i označila ih kao pretnje

Ruska savezna služba za nadzor u oblasti telekomunikacija, informacionih tehnologija i masovnih komunikacija Roskomnadzor zabranila je upotrebu Opera... Dalje

NATO upozorio da će sajber napade tretirati na isti način kao oružani napad

NATO upozorio da će sajber napade tretirati na isti način kao oružani napad

NATO je upozorio da je spreman da sajber napade tretira na isti način kao oružani napad na bilo koga od saveznika i reaguje vojnim odgovorom protiv ... Dalje

Bajden i Putin na samitu G7 o izručenju optuženih hakera

Bajden i Putin na samitu G7 o izručenju optuženih hakera

Diskusija o izručenju optuženih hakera iz Rusije u SAD mogla bi biti na dnevnom redu ove nedelje kada se američki predsednik Džo Bajden bude sasta... Dalje