Bag u TikToku otkriva brojeve telefona i privatne podatke korisnika

Vesti, 27.01.2021, 10:00 AM

Bag u TikToku otkriva brojeve telefona i privatne podatke korisnika

Istraživači Check Pointa otkrili su sigurnosnu ranjivost u TikToku koja je, pre nego što je problem rešen, omogućavala napadačima da zaobiđu zaštitu privatnosti platforme i pristupe privatnim ličnim podacima korisnika, uključujući i brojeve telefona i korisničke ID-jeve.

„Podaci o profilu kojima je bilo moguće pristupiti preko ove ranjivosti uključuju telefonski broj, nadimak, slike profila i avatar, jedinstvene korisničke ID-jeve, kao i određena podešavanja profila“, kažu iz Check Pointa.

Podaci o korisnicima koji bi se mogli prikupiti mogli su se kasnije koristiti za pokretanje spear phishing napada i za druge vrste zlonamernih aktivnosti.

Ovaj bag uticao je samo na one korisnike TikToka koji su povezali telefonski broj sa svojim nalogom ili su se prijavili sa telefonskim brojem.

TikTok je izdao zakrpu nakon što je obavešten o bagu u aplikaciji.

Greška je zapravo u TikTokovoj funkciji „Pronađi prijatelje“ koja omogućava korisnicima da sinhronizuju svoje kontakte sa servisom kako bi pronašli ljude koje bi možda želeli da prate.

Kontakti se šalju TikToku putem HTTP zahteva u formatu liste koja se sastoji od heširanih imena kontakata i odgovarajućih brojeva telefona.

Aplikacija u sledećem koraku šalje drugi HTTP zahtev koji preuzima TikTok profile povezane sa telefonskim brojevima poslatim u prethodnom zahtevu. Ovaj odgovor uključuje imena profila, brojeve telefona, fotografije i druge informacije povezane sa profilom.

Iako su zahtevi za otpremanje i sinhronizaciju ograničeni na 500 kontakata dnevno, po korisniku i po uređaju, istraživači Check Pointa pronašli su način da zaobiđu ovo ograničenje pomoću identifikatora uređaja, kolačića sesije koje je server postavio, jedinstvenog tokena nazvanog „X-Tt-Token“ koji se podešava prilikom prijave na nalog SMS-om i simuliraju čitav proces iz emulatora koji radi na Androidu 6.0.1.

Bag je omogućio istraživačima automatizaciju postupka učitavanja i sinhronizacije kontakata u velikom obimu i stvaranje baze podataka naloga i povezanih brojeva telefona.

Ovo nije prvo otkriće ranjivosti TikToka za istraživače Check Pointa. U januaru 2020. oni su otkrili više ranjivosti u aplikaciji TikTok koje su mogle biti iskorišćene da bi se manipulisalo sadržajem korisničkih naloga, uključujući brisanje videa, postavljanje novih videa po izboru napadača, objavljivanje privatnih „skrivenih“ video snimaka i otkrivanje ličnih podataka sačuvanih na nalogu.

TikTok je prošlog oktobra ušao u partnerstvo sa HackerOne kako bi pomogao korisnicima i profesionalcima da prijave tehničke probleme sa platformom. Kritične ranjivosti (CVSS ocena 9 - 10) ispunjavaju uslove za nagrade u iznosu od 6900 do 14800 dolara..

„Naša primarna motivacija ovog puta, bila je da istražimo privatnost TikToka“, rekao je Oded Vanunu, šef istraživanja ranjivosti proizvoda u Check Pointu. “Bili smo znatiželjni da vidimo da li se TikTok platforma može koristiti za prikupljanje privatnih podataka korisnika. Ispostavilo se da je odgovor bio potvrdan, jer smo uspeli da zaobiđemo višestruke zaštitne mehanizme TikToka što vodi narušavanju privatnosti. Napadač sa takvim osetljivim informacijama mogao bi da izvrši čitav niz zlonamernih aktivnosti, kao što je spear phishing ili druge kriminalne aktivnosti.“


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Hakovan elitni ruski hakerski forum, procureli podaci članova foruma

Hakovan elitni ruski hakerski forum, procureli podaci članova foruma

Poznati ruski hakerski forum Maza je hakovan, a podaci članova foruma su procureli. 3. marta, istraživači Flashpointa otkrili su da je hakovan foru... Dalje

Stručnjaci upozoravaju: Građani bi mogli biti uvučeni u sajber rat

Stručnjaci upozoravaju: Građani bi mogli biti uvučeni u sajber rat

Građani bi mogli da budu uvučeni u sajber napade koji bi doveli u opasnost njihove uređaje, kaže direktor kompanije za sajber bezbednost FireEye k... Dalje

Haker koji je otkrio kako hakovati Microsoft nalog nagrađen sa 50000 dolara

Haker koji je otkrio kako hakovati Microsoft nalog nagrađen sa 50000 dolara

Istraživač Laksmen Mutaja nagrađen je sa 50000 dolara za otkrivanje ranjivosti koja omogućava preuzimanje bilo kog Microsoft naloga. Međutim, ovo... Dalje

Microsoft Teams dobija podršku za end-to-end šifrovanje

Microsoft Teams dobija podršku za end-to-end šifrovanje

Microsoft je najavio da će u narednim mesecima Microsoft Teams dobiti podršku za end-to-end enkripciju. Međutim, end-to-end šifrovanje bi se poja... Dalje

Hakeri koriste novi bag za napade na korisnike, ažurirajte odmah Google Chrome

Hakeri koriste novi bag za napade na korisnike, ažurirajte odmah Google Chrome

Mesec dana pošto je otklonio do tada nepoznati bag u Chromeu koji se aktivno koristio za napade na korisnike, Google je juče objavio ažuriranje za ... Dalje