بررسی نقطه چک (CPR) اخیراً یک آسیبپذیری در حال کار را آشکار کرده است "یافتن دوستان" του TikTok دور زدن آنها حفاظت از حریم خصوصی.
Αاگر این آسیبپذیری برطرف نشود، به مهاجم اجازه میدهد به جزئیات نمایه کاربر و شماره تلفنهای مرتبط با حساب خود دسترسی داشته باشد و ایجاد یک پایگاه داده اطلاعاتی برای استفاده در فعالیت های مخرب در آینده.
محققان CPR دو بار نقص های امنیتی را در آن پیدا کردند TikTok. آخرین نمایههای آسیبپذیری عبارتند از: شماره تلفن، نام مستعار، تصاویر نمایه و آواتار، شناسههای منحصربهفرد کاربر و برخی تنظیمات نمایه، مانند اینکه آیا کاربر فالوور است یا نمایه وی قفل شده است.
چگونه مزاحمان می توانند از این آسیب پذیری سوء استفاده کنند:
- فهرستی از شناسههای دستگاه ایجاد کنید که برای جستجوی سرورهای TikTok استفاده میشوند.
- فهرستی از توکنهای خاص ایجاد کنید (هر توکن به مدت 60 روز معتبر است) که برای جستجوی سرورهای TikTok استفاده میشود.
- با استفاده از سرویس امضای پسزمینه خود، مکانیسم امضای پیام HTTP TikTok را دور بزنید.
- همه موارد فوق را با اصلاح درخواستهای HTTP، نادیده گرفتن آنها و استفاده از توکنها و شناسههای دستگاه مختلف برای دور زدن مکانیسمهای حفاظتی TikTok به هم وصل کنید.
مراحلی که دنبال شد بررسی Check Research و ByteDance…
CPR به طور مسئولانه یافته های خود را به سازنده TikTok ByteDance فاش کرد. نکته مثبت این بود که سازندگان آن TikTok راه حلی برای اطمینان از اینکه کاربران TikTok می توانند با خیال راحت از برنامه استفاده کنند، توسعه داده اند.
در تحقیقات قبلی خود در مورد TikTok، CPR قبلاً دو بار نقص امنیتی در آن پیدا کرده بود.
در 8 ژانویه 2020، CPR مقالهای درباره مجموعهای از آسیبپذیریها منتشر کرد که میتواند به یک عامل تهدید اجازه دسترسی به اطلاعات شخصی را بدهد.
در حساب های کاربری ذخیره می شود، اطلاعات حساب کاربری را دستکاری می کند، یا از طرف یک کاربر بدون رضایت او اقدام می کند.
ای اودید وانونو، رئیس تحقیقات آسیب پذیری محصول در چک نقطه بیان کرد:
یک متجاوز با این سطح از اطلاعات حساس می تواند تعدادی از فعالیت های مخرب مانند ماهیگیری سایبری یا سایر فعالیت های مجرمانه را مرتکب شود. پیام ما به کاربران TikTok این است که اطلاعات شخصی کمی را به اشتراک بگذارند. و همچنین سیستم عامل و برنامه های خود را به آخرین نسخه ها به روز کنید.
سخنگوی TikTok گفت:
فراموش نکنید که آن را دنبال کنید Xiaomi-miui.gr در اخبار گوگل تا بلافاصله در مورد تمام مقالات جدید ما مطلع شوید!