TikTok popravio ogroman bug i curenje podataka
Ranije ove godine, TikTok je pokrenuo program za rano otkrivanje grešaka i ranjivosti koje mogu naškoditi mreži. Čini se da je taj napor doneo rezultate, jer je nedavno otklonio ozbiljnu manu koju je otkrila firma Check Point Research. Ranjivost je omogućavala napadačima da koriste funkciju App Finder za krađu podataka o profilu korisnika i brojeve telefona, koji se kasnije mogu koristiti za hakerske napade.
TikTok veoma zanimljiv i hakerima i korisnicima
Istraživači Check Pointa razvili su exploit nakon što su uočili propust u načinu na koji su TikTokovi serveri potvrdili da zahtevi za Find Friend dolaze sa legitimnih telefona. Koristeći jedinstveni ID uređaja za telefon svakog korisnika, aplikacija kreira korisnički token i kolačić sesije. Međutim, tim je otkrio da su kolačići važili do 60 dana, omogućavajući im upotrebu u virtuelnim uređajima umesto u fizičkim telefonima.
Ranjivost je dopustila napadaču da izgradi bazu podataka o korisničkim detaljima i njihovim brojevima telefona. Napadač sa tim stepenom osetljivih informacija mogao bi da izvrši niz zlonamernih aktivnosti, kao što je krađa, ili druge kriminalne radnje.
Koristeći neke alate za hakovanje, mogli bi da zaobiđu TikTokovo potpisivanje HTTP poruke, promene funkciju za sticanje kontakata i ponovo potpišu zahtev. Budući da se sve ovo radilo na virtuelnom uređaju, proces bi mogao biti automatizovan. To omogućava napadačima da izgrade bazu podataka o korisničkim telefonskim brojevima, nadimcima, slikama profila i avatarima, jedinstvenim korisničkim ID-ovima i podešavanjima, poput toga da li je korisnik pratilac ili je korisnički profil sakriven. Dobro je da se sve završilo kako treba, i da je TikTok sprečio veće curenje informacija.
Izvor: Engadget