TikTok запустил программу вознаграждения за ошибки после обнаружения различных уязвимостей в своем приложении. Эта попытка, похоже, работает хорошо, поскольку TikTok недавно исправил серьезную ошибку, обнаруженную компанией по безопасности Check Point Research. Уязвимость позволит хакерам использовать функцию «Поиск друзей» в приложении для кражи различных деталей из профилей и телефонных номеров пользователей, а затем создать базу данных с информацией, которая может быть использована для злонамеренных атак.
Исследователи Check Point заметили недостаток в том, как серверы TikTok подтверждали, что запросы Friend Finder приходили с законных телефонов. Используя уникальный идентификатор устройства для каждого телефона пользователя приложение генерирует один токен пользователя и один файл cookie сеанса. Однако команда обнаружила, что файлы cookie действительны в течение примерно 60 дней, что позволяет использовать их в виртуальные устройства вместо сотовых телефонов.
Уязвимость может позволить хакеру создать базу данных с данными пользователей и соответствующими номерами телефонов. Хакер с таким уровнем конфиденциальной информации может выполнить ряд вредоносных действий, таких как фишинговые кампании или другие преступные действия. Послание исследователей пользователям TikTok - делиться как можно меньше информация от их личные данные. Им также необходимо обновить свою операционную систему и приложения до последних версий.
Используя некоторые хакерские инструменты, они могли обойти «подпись HTTP-сообщения» TikTok, изменить функцию получения контактов и снова подписать запрос. Потому что все произошло в одном виртуальное устройство, процесс мог автоматизированный. Это позволило исследователям создать базу данных с помощью "телефонные номера, псевдонимы, уникальные идентификаторы пользователей и настройки, например, если пользователь является подписчиком или его профиль пользователь является частным ", согласно Check Point.
Η Пункт контроля сказал, что обнаружил уязвимость в последние месяцы. "Check Point Research проинформировала наших разработчиков и команду безопасности об этом вопрос и ответственно разработали решение обеспечен «Пользователи могут спокойно продолжать использовать приложение TikTok», - заявили в компании.
Источник информации: engadget.com
Greek
Chinese (Simplified)
English
Greek
Russian