Кража данных через TikTok - легко

H

Hackers Academy

Original poster
Кража данных через TikTok - легко
Уязвимости, которые, по словам создателей приложения, были исправлены впоследствии, позволяли злоумышленникам манипулировать контентом и извлекать личные данные пользователей. Видео-приложение TikTok заявляет, что устранило все уязвимости, обнаруженные исследователями кибербезопасности Check Point.

Кража данных через TikTok - легко, изображение №1




Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

- приложение для смартфонов, которое полюбилось подростками и используется миллионами людей во всем мире, имело уязвимости, позволяющие хакерам манипулировать данными участников и похищать личную информацию. Это выяснено после проведения

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

Check Point - компанией по кибербезопасности в Израиле.

Такие уязвимости позволяли отправлять пользователям TikTok сообщения с вредоносными ссылками. После того как пользователи переходили по ссылкам, злоумышленники получали контроль над их учетными записями, в том числе загруженным видео или доступом к частным роликам.
«Все обнаруженные уязвимости относятся к основным для системы TikTok», - сказал Одед Вануну, руководитель отдела исследования уязвимостей Check Point. TikTok узнал о выводах проведенного исследования Check Point в ноябре 2019 и заявил, что к декабрю устранит все уязвимости.

Тотальная проверка и популяризация
ТикТок также стал мишенью для законодателей и регулирующих органов, которые с подозрением относятся к китайским технологиям. Несколько подразделений вооруженных сил США запретили персоналу устанавливать приложение на смартфоны.
Популярность TikTok увеличилась за последние два года, став необычной историей успеха Интернета из Китая на Западе. Оно загружалось более 1,5 миллиарда раз, в

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

с данными фирмы Sensor Tower. Ближе к концу 2019 года исследовательская компания заявила, что TikTok за год получит больше загрузок, чем известные приложения из FB, Instagram и Snap.
Но новые приложения, такие как TikTok, предполагают улучшение возможностей для хакеров, ищущих целевые сервисы, которые не проверялись годами исследований безопасности и реальных атак. Многие из пользователей Тик Ток молоды и, возможно, не обращают внимания на обновления безопасности.
«TikTok стремится защищать данные пользователей», - сказал Люк Дешотелс, член группы безопасности TikTok. «Как и многие организации, мы поощряем ответственных исследователей в области безопасности раскрывать нам в частном порядке уязвимости нулевого уровня», - добавил он. Перед публичным раскрытием Check Point создатели согласились с фактами, а все обнаруженные проблемы исправлены в последней версии приложения. «Мы надеемся, что это успешное решение будет способствовать дальнейшему сотрудничеству с исследователями безопасности» - заявили они.
Дешотелс сказал, что в записях клиентов нет никаких указаний на то, что произошло нарушение конфиденциальности или атака на их акки. Материнская компания TikTok, ByteDance, является одним из самых ценных технологических стартапов в мире. Но популярность TikTok и его корни в Китае, где ни одна крупная корпорация не может процветать без благосклонности правительства, побудили к тщательному изучению политики в отношении контента и методов обработки данных.

Тестирование приложения
Подразделение разведки Check Point изучило, насколько легко было бы взломать учетные записи пользователей TikTok. Было обнаружено, что различные функции приложения, включая отправку видеофайлов, имеют проблемы с безопасностью. «Я ожидал появления уязвимостей в такой компании, как TikTok, которая, вероятно, больше ориентирована на стремительный рост и создание новых функций для своих пользователей, а не на безопасность», - сказал Кристоф Хебайзен, руководитель исследования Lookout, еще одной компании по ИБ.

Одна уязвимость позволила злоумышленникам использовать ссылку в системе обмена сообщениями TikTok для отправки пользователям сообщений, которые исходили не от TikTok. Исследователи Check Point проверили уязвимость, отправив себе ссылки с вредоносными программами, которые позволили им управлять учетными записями, загружать контент, удалять видео и делать частные видео общедоступными.
Исследователи также обнаружили, что сайт TikTok уязвим для атак, которые внедряют вредоносный код на доверенные сайты. Check Point смогли получить личную информацию пользователей, включая имена и даты рождения. Check Point отправила сводку своих выводов в Министерство внутренней безопасности США.

Злоумышленники, желающие отправить жертве SMS-сообщение, могут перехватить HTTP-запрос с помощью прокси-инструмента (например, Burp Suite). Параметр Mobile содержит номер телефона, на который будет отправлено SMS, а параметр download_url - это ссылка, которая появится в сообщении SMS:

Кража данных через TikTok - легко, изображение №2



Официальное СМС:

Кража данных через TikTok - легко, изображение №3



Изменение параметра download_url приведет к поддельному SMS-сообщению, которое будет содержать ссылку, выбранную злоумышленниками для ввода.
Мошенники, использующие уязвимость

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

могут отправить настраиваемую ссылку, которая содержит схемы, упомянутые выше. Поскольку пользовательская ссылка будет содержать параметр «url», мобильное приложение откроет окно веб-просмотра (браузера) и перейдет на веб-страницу, указанную в параметре мобильного приложения. Любой запрос будет отправлен с куки-файлами пользователей.

Создание видео
Чтобы создать видео в ленте жертвы, злоумышленник сначала должен отправить запрос на создание видео в своей ленте. Запросы на создание генерируют новый идентификатор видео. На этом этапе злоумышленник копирует запрос на создание контента и сбрасывает его.
Используя выполнение JavaScript, как упомянуто выше, злоумышленник отправляет скопированный им запрос на создание видео и отправляет HTTP-запрос POST от имени жертвы.
На следующем снимке экрана демонстрируется запрос на создание видео в ленте жертв:

Кража данных через TikTok - легко, изображение №4



В ответе сервера указано, что видео было успешно создано:

Кража данных через TikTok - легко, изображение №5



Раскрытие конфиденциальных данных
По мере продолжения исследования выявлено, что можно выполнять код JavaScript с помощью

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

или других методов для получения конфиденциальной информации. Обнаружено несколько вызовов API в поддоменах

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

и

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

. Выполнение запросов к вышеупомянутым API открывает конфиденциальную информацию о пользователе, включая адрес электронной почты, платежную информацию, даты рождения и многое другое.

При попытке использовать уязвимости выполнения JavaScript, описанные выше, исследователи столкнулись с проблемой - механизмом Cross Origin Resource Sharing (CORS) и ограничениями безопасности Same Origin Policy (SOP). Похоже, что поддомены API позволяют сделать запрос только определенным источникам (например:

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

). Например, на следующем снимке экрана показан запрос API, отправленный с

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

:

Кража данных через TikTok - легко, изображение №6



Ответ заблокирован из-за ограничений безопасности:

Кража данных через TikTok - легко, изображение №7



оэтому пришлось обойти механизмы безопасности CORS и SOP, чтобы получить всю конфиденциальную информацию, которая там лежала.
Tiktok реализовал нетрадиционный обратный вызов JSONP, который предоставляет метод для запроса данных с серверов API без ограничений CORS и SOP! Обход этих механизмов безопасности позволил украсть всю конфиденциальную информацию жертв, запустив AJAX-запрос к обратному вызову JSONP, в результате чего данные JSON были упакованы функцией JavaScript.

Результаты исследования
TikTok

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

для урегулирования жалоб и заявил, что будет соблюдать

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

. Управление британского комиссара по информации по-прежнему исследует TikTok, чтобы определить, нарушает ли он европейские законы о конфиденциальности, которые предлагают особую защиту несовершеннолетних и их данных.

Вывод
Видео в TikTok занимательны. Они создали главное направление, стиль, даже музыкальный жанр. Многие используют приложение TikTok, чтобы делиться приятными моментами и организовывать забавные воспоминания в виде коротких видеоклипов. Но, как стало понятно, существует тонкая грань между забавными клипами и частными, когда личные активы скомпрометированы, а юзеры при этом уверены, что находятся под защитой приложения.
Представленное исследование показывает риски, связанные с одним из самых популярных и широко используемых социальных приложений в мире. Такие риски усиливают насущную потребность в конфиденциальности и безопасности данных в кибер-мире, в котором мы живем. Утечки данных становятся эпидемией. Это смертельная проблема, с которой многие организации сталкиваются в глобальном масштабе просто потому, что данные распространяются повсюду.

Наши данные хранятся в разных соцсетях, и в них находится часто самая ценная конфиденциальная информация. Мы несем общую ответственность за защиту наших данных от компрометации и краж, потому обращаем внимание на попытки хищения информации и информируем общество об этом!

С вами был ФСБ! Надеюсь тебе понравилась моя статья. Подписывайся на мой профиль UfoLabs и на мой телеграм канал

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

 
Название темы
Автор Заголовок Раздел Ответы Дата
S Кража паролей: как наши учетки уводят через npm-пакет Уязвимости и взлом 0
Admin Кража логов Skype и истории посещений браузеров. Уязвимости и взлом 0
Support81 ShadowRay: майнинг Monero, кража данных и другие угрозы Новости в сети 0
Emilio_Gaviriya Статья Избегаем утечку данных при помощи Fake Contacts. Анонимность и приватность 0
Emilio_Gaviriya Статья Почему стоит избегать использования ботов для поиска персональных данных: Опасности и риски. Анонимность и приватность 0
pink blink Продам Базы данных РФ и Европы от Pink Blink — найду для вас всё Все что не подошло по разделу 0
Л Продам базу данных Корзина 0
Л Ожидает оплаты Продам базы данных Корзина 1
Support81 Хакеры Kinsing активно эксплуатируют Looney Tunables для кражи учётных данных Новости в сети 0
turbion0 Роскомнадзор подтвердил утечку данных в сентябре почти 1 млн клиентов МТС-Банка Новости в сети 0
BelarusDM Продавец Базы данных от BelarusDM: Лучшие физы для ОФИСОВ и КОЛЛ ЦЕНТРОВ! Зарплатники ВТБ, Росбанка, СБП и тд. Доступы - FTP, shell'ы, руты, sql-inj, БД 1
Support81 Будущее разведки: ЦРУ внедряет систему искусственного интеллекта для анализа открытых данных Новости в сети 0
Support81 Силовики vs приватность: что стоит за новыми законами о персональных данных и почему бизнес бьет тревогу? Новости в сети 0
INDUSTRIAL Куплю Куплю Базы данных БАДы 2023 | Свежий материал + бюджетная отработка Куплю/Продам 1
NFUO2 На проверке Доступ к серверу большой базе данных Сайты/Хостинг/Сервера 1
Support81 Утечка данных VirusTotal разрушает конфиденциальность разведчиков США и Германии Новости в сети 0
Д На проверке база данных ВК. пробив. Пробив информации/Прозвоны 2
yaNaSvyazi [Prince Patni] [Udemy] Раскрытие возможностей ChatGPT в науке о данных: руководство от А до Я (2023) Способы заработка 0
twelwe База данных СДЭК. 1 млрд записей. 2023 Другое 5
Molodoy888 На проверке Базы для обзвона, Базы для кц, Базы данных физов Все что не подошло по разделу 1
D Закрыто Продам базы данных Пробив информации/Прозвоны 1
T Продам свежую базу данных Украины! Продажа софта 2
F Продам Продам базу данных Банки/физы/пенсы/БАДы Все что не подошло по разделу 199
J Куплю Куплю/Ищу базы данных физов РФ Куплю/Продам 0
A Alice in The Land of Malware | Stealer (Воровство всех данных) Корзина 0
D Закрыто Продам базы данных Пробив информации/Прозвоны 3
T Закрыто Продам базы данных Корзина 1
M Закрыто Продам UK строчки,данные под казино ,базы данных,ставки,bet365,betfair и тд Корзина 1
exkommunikado Продам Всегда свежая база данных сотовых номеров Все что не подошло по разделу 2
F как определить способ защиты сохраняемых данных в веб-приложении ? Уязвимости и взлом 0
ForexLead Закрыто Лидогенерация. Трафик Fx/Crypto. Базы данных 21-22г. Корзина 1
R Продам Доступ к серверу больницы. Россия. Много данных. / Access to the russian medical server. Many data. Доступы - FTP, shell'ы, руты, sql-inj, БД 1
W Заказать услуги Хакера,Взлом на заказ от [email protected] взлом базы данных,удаленный доступ (telegram,Viber,Whatsapp,Gmail,vk.com,OK.ru) Если Корзина 0
P Закрыто База данных от Кота Матроскина (БАДы, физ лица) Корзина 1
GetLeads [Email, Phone, Data...] Парсинг, сбор данных с любых сайтов Ищу работу. Предлагаю свои услуги. 5
H База данных девушек Вопросы и интересы 5
V Куплю базы данных. Прямо сейчас нужны БД ЗАГС и Росстат Куплю/Продам 0
G [Email, Phone, Data...] Парсинг, сбор данных с любых сайтов Ищу работу. Предлагаю свои услуги. 0
Ř База данных GetContact (140k number) Анонимность и приватность 3
DOMINUS Создатель «Глаза Бога» обвинил Telegram в сливе данных Новости в сети 2
A Продам Базы данных Фнс Куплю/Продам 1
DOMINUS DigitalOcean сообщила об утечке платежных данных клиентов Новости в сети 0
B Интересно База данных LOLZ Уязвимости и взлом 8
F Интересно Базы данных Украины Другое 6
Y Интересно Восстановление данных Полезные статьи 2
C Ищу базу данных ру Предоставляю работу. Ищу специалиста. 2
A Закрыто Пробив данных Корзина 0
A Закрыто Нужен аккаунт Rainbow six siege с почтой для смены данных Корзина 0
DOMINUS Утечка данных пользователей криптобиржи BuyUCoin Новости в сети 1
DOMINUS Россиянин Кирилл Фирсов, задержанный в США по подозрению в похищении данных, признал свою вину Новости в сети 1

Название темы