TikTok: آسیب‌پذیری امنیتی خطرناکی فاش شد که اطلاعات شخصی کاربران را افشا می‌کند!

بررسی نقطه چک (CPR) اخیراً یک آسیب‌پذیری در حال کار را آشکار کرده است "یافتن دوستان" του TikTok دور زدن آنها حفاظت از حریم خصوصی.

Αاگر این آسیب‌پذیری برطرف نشود، به مهاجم اجازه می‌دهد به جزئیات نمایه کاربر و شماره تلفن‌های مرتبط با حساب خود دسترسی داشته باشد و ایجاد یک پایگاه داده اطلاعاتی برای استفاده در فعالیت های مخرب در آینده.

محققان CPR دو بار نقص های امنیتی را در آن پیدا کردند TikTok. آخرین نمایه‌های آسیب‌پذیری عبارتند از: شماره تلفن، نام مستعار، تصاویر نمایه و آواتار، شناسه‌های منحصربه‌فرد کاربر و برخی تنظیمات نمایه، مانند اینکه آیا کاربر فالوور است یا نمایه وی قفل شده است.

چگونه مزاحمان می توانند از این آسیب پذیری سوء استفاده کنند:

1. فهرستی از شناسه‌های دستگاه ایجاد کنید که برای جستجوی سرورهای TikTok استفاده می‌شوند.
2. فهرستی از توکن‌های خاص ایجاد کنید (هر توکن به مدت 60 روز معتبر است) که برای جستجوی سرورهای TikTok استفاده می‌شود.
3. با استفاده از سرویس امضای پس‌زمینه خود، مکانیسم امضای پیام HTTP TikTok را دور بزنید.
4. همه موارد فوق را با اصلاح درخواست‌های HTTP، نادیده گرفتن آنها و استفاده از توکن‌ها و شناسه‌های دستگاه مختلف برای دور زدن مکانیسم‌های حفاظتی TikTok به هم وصل کنید.

مراحلی که دنبال شد بررسی Check Research و ByteDance…

CPR به طور مسئولانه یافته های خود را به سازنده TikTok ByteDance فاش کرد. نکته مثبت این بود که سازندگان آن TikTok راه حلی برای اطمینان از اینکه کاربران TikTok می توانند با خیال راحت از برنامه استفاده کنند، توسعه داده اند.

در تحقیقات قبلی خود در مورد TikTok، CPR قبلاً دو بار نقص امنیتی در آن پیدا کرده بود.

در 8 ژانویه 2020، CPR مقاله‌ای درباره مجموعه‌ای از آسیب‌پذیری‌ها منتشر کرد که می‌تواند به یک عامل تهدید اجازه دسترسی به اطلاعات شخصی را بدهد.
در حساب های کاربری ذخیره می شود، اطلاعات حساب کاربری را دستکاری می کند، یا از طرف یک کاربر بدون رضایت او اقدام می کند.

ای اودید وانونو، رئیس تحقیقات آسیب پذیری محصول در چک نقطه بیان کرد:

سخنگوی TikTok گفت:

فراموش نکنید که آن را دنبال کنید Xiaomi-miui.gr در اخبار گوگل تا بلافاصله در مورد تمام مقالات جدید ما مطلع شوید!

ما را دنبال در تلگرام !