Výzkumný tým Check Point Research odhalil novou zranitelnost v TikToku, která se ukrývala ve funkci pro vyhledávání přátel. V případě zneužití zranitelnosti by mohli útočníci získat přístup k podrobnostem o profilu a telefonnímu číslu uživatele, a vytvořit tak databázi pro další škodlivé aktivity. Kromě toho bylo možné získat informace o přezdívce, profilové obrázky nebo například unikátní ID uživatele.
Popis zneužití zranitelnosti:
- Vytvoření seznamu zařízení (ID zařízení), která budou použita k dotazování na servery TikTok.
- Vytvoření seznamu tokenů (každý token je platný po dobu 60 dnů), které budou použity pro dotazy na serverech TikTok.
- Obejití mechanismu pro podepisování HTTP zpráv pomocí vlastní podpisové služby spuštěné na pozadí.
- Propojení všech kroků úpravou HTTP požadavků, jejich opětovné podepsání a použití různých tokenů a ID zařízení k obejití ochranných mechanismů TikToku.
Check Point o svých zjištěních zodpovědně informoval společnost ByteDance, tvůrce TikToku. Následně bylo nasazeno řešení, které uživatelům TikToku umožňuje bezpečné používání aplikace.
„Snažili jsme se tentokrát prozkoumat ochranu soukromí na TikToku. Byli jsme zvědaví, zda lze platformu TikTok použít k získání soukromých uživatelských dat. Ukázalo se, že ano, protože jsme pomocí objevené zranitelnosti dokázali obejít několik ochranných mechanismů TikToku. Zranitelnost mohla útočníkům umožnit vytvořit databázi informací o uživatelích a jejich telefonních čísel. Hackeři by podobná citlivá data mohli zneužít k celé řadě škodlivých aktivit, jako je spearphishing nebo jiná trestná činnost. Doporučujeme pro jistotu sdílet na TikToku minimum osobních informací. Zároveň aktualizujte svůj operační systém, stejně jako používat vždy nejnovější verze aplikací,“ říká Peter Kovalčík, Regional Director, Security Engineering EE v kyberbezpečnostní společnosti Check Point.
„Zabezpečení a soukromí komunity TikTok je naší nejvyšší prioritou. Oceňujeme práci důvěryhodných partnerů, jako je Check Point, a jejich pomoc při identifikaci potenciálních problémů, které tak můžeme odstranit dříve, než mohou ovlivnit uživatele. Nadále posilujeme a zlepšujeme ochranu, investujeme do automatizovaného zabezpečení a prohlubujeme spolupráci se třetími stranami,“ uvedl TikTok ve svém prohlášení.
Stáhnout TikTok
