Kiểm tra điểm nghiên cứu (CPR) gần đây đã tiết lộ một lỗ hổng trong hoạt động "Tìm bạn" của TikTok bỏ qua chúng bảo vệ quyền riêng tư.
ΑNếu lỗ hổng này không được giải quyết, nó sẽ cho phép kẻ tấn công truy cập vào chi tiết hồ sơ người dùng và số điện thoại được liên kết với tài khoản của họ, có thể tạo cơ sở dữ liệu thông tin để sử dụng hoạt động độc hại trong tương lai.
Các nhà điều tra CPR đã hai lần tìm thấy lỗi bảo mật trong TikTok. Các hồ sơ có thể truy cập gần đây nhất thông qua lỗ hổng bảo mật bao gồm: số điện thoại, biệt hiệu, ảnh hồ sơ và ảnh đại diện, ID người dùng duy nhất và một số cài đặt hồ sơ, chẳng hạn như liệu người dùng có phải là người theo dõi hay hồ sơ của họ bị khóa.
Những kẻ xâm nhập có thể khai thác lỗ hổng này như thế nào:
- Tạo danh sách ID thiết bị sẽ được sử dụng để tìm kiếm máy chủ TikTok.
- Tạo danh sách các mã thông báo cụ thể (mỗi mã thông báo có giá trị trong 60 ngày) sẽ được sử dụng để tìm kiếm các máy chủ TikTok.
- Bỏ qua cơ chế ký thông báo HTTP của TikTok bằng cách sử dụng dịch vụ ký nền của riêng họ.
- Kết nối tất cả những điều trên bằng cách sửa đổi các yêu cầu HTTP, bỏ qua chúng và sử dụng các mã thông báo và ID thiết bị khác nhau để vượt qua cơ chế bảo vệ TikTok.
Các bước tiếp theo Kiểm tra Kiểm tra Nghiên cứu và ByteDance…
CPR đã tiết lộ một cách có trách nhiệm những phát hiện của mình cho nhà sản xuất TikTok ByteDance. Điều tích cực là những người tạo ra nó TikTok đã phát triển một giải pháp để đảm bảo rằng người dùng TikTok có thể tiếp tục sử dụng ứng dụng một cách an toàn.
Trong nghiên cứu trước đây của cô ấy về TikTok, CPR đã hai lần tìm thấy lỗi bảo mật trong đó.
Vào ngày 8 tháng 2020 năm XNUMX, CPR đã xuất bản một bài báo về một tập hợp các lỗ hổng có thể cho phép tác nhân đe dọa truy cập thông tin cá nhân
được lưu trữ trong tài khoản người dùng, thao túng thông tin tài khoản người dùng hoặc thực hiện hành động thay mặt người dùng mà không có sự đồng ý của họ.
Oded Vanunu, Trưởng bộ phận Nghiên cứu Lỗ hổng bảo mật của Sản phẩm tại Kiểm tra Điểm đã nêu:
Kẻ xâm nhập với mức thông tin nhạy cảm này có thể thực hiện một số hoạt động độc hại, chẳng hạn như đánh cá trên mạng hoặc các hoạt động tội phạm khác. Thông điệp của chúng tôi đối với người dùng TikTok là chia sẻ ít dữ liệu cá nhân của họ. Cũng như cập nhật hệ điều hành và ứng dụng của họ lên phiên bản mới nhất.
Một phát ngôn viên của TikTok cho biết:
Các bạn đừng quên theo dõi nhé Xiaomi-miui.gr tại Google Tin tức để được thông báo ngay lập tức về tất cả các bài viết mới của chúng tôi!