Bag u TikToku otkriva brojeve telefona i privatne podatke korisnika

Vesti, 27.01.2021, 10:00 AM

Bag u TikToku otkriva brojeve telefona i privatne podatke korisnika

Istraživači Check Pointa otkrili su sigurnosnu ranjivost u TikToku koja je, pre nego što je problem rešen, omogućavala napadačima da zaobiđu zaštitu privatnosti platforme i pristupe privatnim ličnim podacima korisnika, uključujući i brojeve telefona i korisničke ID-jeve.

„Podaci o profilu kojima je bilo moguće pristupiti preko ove ranjivosti uključuju telefonski broj, nadimak, slike profila i avatar, jedinstvene korisničke ID-jeve, kao i određena podešavanja profila“, kažu iz Check Pointa.

Podaci o korisnicima koji bi se mogli prikupiti mogli su se kasnije koristiti za pokretanje spear phishing napada i za druge vrste zlonamernih aktivnosti.

Ovaj bag uticao je samo na one korisnike TikToka koji su povezali telefonski broj sa svojim nalogom ili su se prijavili sa telefonskim brojem.

TikTok je izdao zakrpu nakon što je obavešten o bagu u aplikaciji.

Greška je zapravo u TikTokovoj funkciji „Pronađi prijatelje“ koja omogućava korisnicima da sinhronizuju svoje kontakte sa servisom kako bi pronašli ljude koje bi možda želeli da prate.

Kontakti se šalju TikToku putem HTTP zahteva u formatu liste koja se sastoji od heširanih imena kontakata i odgovarajućih brojeva telefona.

Aplikacija u sledećem koraku šalje drugi HTTP zahtev koji preuzima TikTok profile povezane sa telefonskim brojevima poslatim u prethodnom zahtevu. Ovaj odgovor uključuje imena profila, brojeve telefona, fotografije i druge informacije povezane sa profilom.

Iako su zahtevi za otpremanje i sinhronizaciju ograničeni na 500 kontakata dnevno, po korisniku i po uređaju, istraživači Check Pointa pronašli su način da zaobiđu ovo ograničenje pomoću identifikatora uređaja, kolačića sesije koje je server postavio, jedinstvenog tokena nazvanog „X-Tt-Token“ koji se podešava prilikom prijave na nalog SMS-om i simuliraju čitav proces iz emulatora koji radi na Androidu 6.0.1.

Bag je omogućio istraživačima automatizaciju postupka učitavanja i sinhronizacije kontakata u velikom obimu i stvaranje baze podataka naloga i povezanih brojeva telefona.

Ovo nije prvo otkriće ranjivosti TikToka za istraživače Check Pointa. U januaru 2020. oni su otkrili više ranjivosti u aplikaciji TikTok koje su mogle biti iskorišćene da bi se manipulisalo sadržajem korisničkih naloga, uključujući brisanje videa, postavljanje novih videa po izboru napadača, objavljivanje privatnih „skrivenih“ video snimaka i otkrivanje ličnih podataka sačuvanih na nalogu.

TikTok je prošlog oktobra ušao u partnerstvo sa HackerOne kako bi pomogao korisnicima i profesionalcima da prijave tehničke probleme sa platformom. Kritične ranjivosti (CVSS ocena 9 - 10) ispunjavaju uslove za nagrade u iznosu od 6900 do 14800 dolara..

„Naša primarna motivacija ovog puta, bila je da istražimo privatnost TikToka“, rekao je Oded Vanunu, šef istraživanja ranjivosti proizvoda u Check Pointu. “Bili smo znatiželjni da vidimo da li se TikTok platforma može koristiti za prikupljanje privatnih podataka korisnika. Ispostavilo se da je odgovor bio potvrdan, jer smo uspeli da zaobiđemo višestruke zaštitne mehanizme TikToka što vodi narušavanju privatnosti. Napadač sa takvim osetljivim informacijama mogao bi da izvrši čitav niz zlonamernih aktivnosti, kao što je spear phishing ili druge kriminalne aktivnosti.“


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Grok‑4 hakovan samo dva dana posle javnog predstavljanja

Grok‑4 hakovan samo dva dana posle javnog predstavljanja

Samo 48 sati nakon što je predstavljen javnosti, najnoviji veliki jezički model Grok-4 je „jailbreak-ovan“. Istraživači iz NeuralTrust... Dalje

TikTok ponovo pod istragom zbog prenosa podataka korisnika na servere u Kini

TikTok ponovo pod istragom zbog prenosa podataka korisnika na servere u Kini

Irska Komisija za zaštitu podataka (DPC) pokrenula je novu istragu protiv TikTok-a zbog sumnje da se podaci evropskih korisnika i dalje prebacuju na ... Dalje

Koliko nas zapravo Google prati čak i kad mislimo da ne može?

Koliko nas zapravo Google prati čak i kad mislimo da ne može?

Koliko nas zapravo Google prati čak i kad mislimo da ne može? Nova studija SafetyDetectives otkriva koliko je Google zapravo svuda oko nas na intern... Dalje

U Chrome Web prodavnici otkrivene opasne ekstenzije, ugroženo 1,7 miliona korisnika

U Chrome Web prodavnici otkrivene opasne ekstenzije, ugroženo 1,7 miliona korisnika

Istraživači iz Koi Security otkrili su dvanaest ekstenzija sa ukupno 1,7 miliona preuzimanja, koje mogu da prate aktivnost korisnika, kradu podatke ... Dalje

Hunters International: Kraj ransomware bande ili početak nove prevare?

Hunters International: Kraj ransomware bande ili početak nove prevare?

Ransomware grupa Hunters International tvrdi da je stavila tačku na svoje delovanje i da će svim svojim žrtvama ponuditi besplatni softver za deši... Dalje