Ang Check Point Research (CPR) ay nagsiwalat kamakailan ng isang kahinaan sa operasyon "Paghahanap ng mga kaibigan" ng TikTok nilalampasan sila mga proteksyon sa privacy.
ΑKung hindi natugunan ang kahinaang ito, papayagan nito ang isang umaatake na ma-access ang mga detalye ng profile ng user at mga numero ng telepono na nauugnay sa kanilang account, na ginagawang posible na lumikha ng database ng impormasyon para magamit sa malisyosong aktibidad sa hinaharap.
Dalawang beses nakakita ang mga imbestigador ng CPR ng mga bahid sa seguridad TikTok. Ang pinakabagong mga profile ng kahinaan ay kinabibilangan ng: numero ng telepono, palayaw, mga larawan sa profile at avatar, mga natatanging user ID, at ilang mga setting ng profile, gaya ng kung ang user ay isang tagasunod o ang kanilang profile ay naka-lock.
Paano maaaring pagsamantalahan ng mga nanghihimasok ang kahinaang ito:
- Gumawa ng listahan ng mga device ID na gagamitin para maghanap ng mga TikTok server.
- Gumawa ng listahan ng mga token na partikular sa token (bawat token ay may bisa sa loob ng 60 araw) na gagamitin para maghanap ng mga TikTok server.
- I-bypass ang TikTok HTTP message signing mechanism gamit ang sarili nilang background signing service.
- Ikonekta ang lahat ng nasa itaas sa pamamagitan ng pagbabago sa mga kahilingan sa HTTP, hindi papansinin ang mga ito at paggamit ng iba't ibang mga token at device ID upang i-bypass ang mga mekanismo ng proteksyon ng TikTok.
Ang mga hakbang na sumunod sa Check Check Research at ByteDance...
Responsableng isiniwalat ng CPR ang mga natuklasan nito sa tagagawa ng TikTok na ByteDance. Ang positibo ay ang mga tagalikha nito TikTok nakabuo ng solusyon upang matiyak na ang mga gumagamit ng TikTok ay maaaring patuloy na gamitin ang application nang ligtas.
Sa kanyang nakaraang pananaliksik sa TikTok, dalawang beses nang nakahanap ang CPR ng mga bahid ng seguridad dito.
Noong Enero 8, 2020, nag-publish ang CPR ng isang papel tungkol sa isang hanay ng mga kahinaan na maaaring magbigay-daan sa ahente ng pagbabanta na magkaroon ng access sa personal na impormasyon.
na naka-imbak sa mga user account, manipulahin ang impormasyon ng user account, o gumawa ng aksyon sa ngalan ng isang user nang walang pahintulot niya.
Oded Vanunu, Pinuno ng Product Vulnerability Research sa Check Nakasaad ang punto:
Ang isang nanghihimasok na may ganitong antas ng sensitibong impormasyon ay maaaring gumawa ng ilang malisyosong aktibidad, gaya ng cyber fishing o iba pang kriminal na aktibidad. Ang aming mensahe sa mga gumagamit ng TikTok ay ibahagi ang kaunti sa kanilang personal na data. Pati na rin ang pag-update ng kanilang operating system at mga application sa pinakabagong mga bersyon.
Sinabi ng isang tagapagsalita ng TikTok:
Huwag kalimutang sundan ito Xiaomi-miui.gr sa Google News upang maipaalam kaagad tungkol sa lahat ng aming mga bagong artikulo!