Кража данных через TikTok - легко

Hackers Academy

Original poster
Banned
Сообщения
17
Реакции
4
КАЗАХСТАН
Посетить сайт
Please note, if you want to make a deal with this user, that it is blocked.
Кража данных через TikTok - легко
Уязвимости, которые, по словам создателей приложения, были исправлены впоследствии, позволяли злоумышленникам манипулировать контентом и извлекать личные данные пользователей. Видео-приложение TikTok заявляет, что устранило все уязвимости, обнаруженные исследователями кибербезопасности Check Point.

Кража данных через TikTok - легко, изображение №1




Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

- приложение для смартфонов, которое полюбилось подростками и используется миллионами людей во всем мире, имело уязвимости, позволяющие хакерам манипулировать данными участников и похищать личную информацию. Это выяснено после проведения

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

Check Point - компанией по кибербезопасности в Израиле.

Такие уязвимости позволяли отправлять пользователям TikTok сообщения с вредоносными ссылками. После того как пользователи переходили по ссылкам, злоумышленники получали контроль над их учетными записями, в том числе загруженным видео или доступом к частным роликам.
«Все обнаруженные уязвимости относятся к основным для системы TikTok», - сказал Одед Вануну, руководитель отдела исследования уязвимостей Check Point. TikTok узнал о выводах проведенного исследования Check Point в ноябре 2019 и заявил, что к декабрю устранит все уязвимости.

Тотальная проверка и популяризация
ТикТок также стал мишенью для законодателей и регулирующих органов, которые с подозрением относятся к китайским технологиям. Несколько подразделений вооруженных сил США запретили персоналу устанавливать приложение на смартфоны.
Популярность TikTok увеличилась за последние два года, став необычной историей успеха Интернета из Китая на Западе. Оно загружалось более 1,5 миллиарда раз, в

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

с данными фирмы Sensor Tower. Ближе к концу 2019 года исследовательская компания заявила, что TikTok за год получит больше загрузок, чем известные приложения из FB, Instagram и Snap.
Но новые приложения, такие как TikTok, предполагают улучшение возможностей для хакеров, ищущих целевые сервисы, которые не проверялись годами исследований безопасности и реальных атак. Многие из пользователей Тик Ток молоды и, возможно, не обращают внимания на обновления безопасности.
«TikTok стремится защищать данные пользователей», - сказал Люк Дешотелс, член группы безопасности TikTok. «Как и многие организации, мы поощряем ответственных исследователей в области безопасности раскрывать нам в частном порядке уязвимости нулевого уровня», - добавил он. Перед публичным раскрытием Check Point создатели согласились с фактами, а все обнаруженные проблемы исправлены в последней версии приложения. «Мы надеемся, что это успешное решение будет способствовать дальнейшему сотрудничеству с исследователями безопасности» - заявили они.
Дешотелс сказал, что в записях клиентов нет никаких указаний на то, что произошло нарушение конфиденциальности или атака на их акки. Материнская компания TikTok, ByteDance, является одним из самых ценных технологических стартапов в мире. Но популярность TikTok и его корни в Китае, где ни одна крупная корпорация не может процветать без благосклонности правительства, побудили к тщательному изучению политики в отношении контента и методов обработки данных.

Тестирование приложения
Подразделение разведки Check Point изучило, насколько легко было бы взломать учетные записи пользователей TikTok. Было обнаружено, что различные функции приложения, включая отправку видеофайлов, имеют проблемы с безопасностью. «Я ожидал появления уязвимостей в такой компании, как TikTok, которая, вероятно, больше ориентирована на стремительный рост и создание новых функций для своих пользователей, а не на безопасность», - сказал Кристоф Хебайзен, руководитель исследования Lookout, еще одной компании по ИБ.

Одна уязвимость позволила злоумышленникам использовать ссылку в системе обмена сообщениями TikTok для отправки пользователям сообщений, которые исходили не от TikTok. Исследователи Check Point проверили уязвимость, отправив себе ссылки с вредоносными программами, которые позволили им управлять учетными записями, загружать контент, удалять видео и делать частные видео общедоступными.
Исследователи также обнаружили, что сайт TikTok уязвим для атак, которые внедряют вредоносный код на доверенные сайты. Check Point смогли получить личную информацию пользователей, включая имена и даты рождения. Check Point отправила сводку своих выводов в Министерство внутренней безопасности США.

Злоумышленники, желающие отправить жертве SMS-сообщение, могут перехватить HTTP-запрос с помощью прокси-инструмента (например, Burp Suite). Параметр Mobile содержит номер телефона, на который будет отправлено SMS, а параметр download_url - это ссылка, которая появится в сообщении SMS:

Кража данных через TikTok - легко, изображение №2



Официальное СМС:

Кража данных через TikTok - легко, изображение №3



Изменение параметра download_url приведет к поддельному SMS-сообщению, которое будет содержать ссылку, выбранную злоумышленниками для ввода.
Мошенники, использующие уязвимость

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

могут отправить настраиваемую ссылку, которая содержит схемы, упомянутые выше. Поскольку пользовательская ссылка будет содержать параметр «url», мобильное приложение откроет окно веб-просмотра (браузера) и перейдет на веб-страницу, указанную в параметре мобильного приложения. Любой запрос будет отправлен с куки-файлами пользователей.

Создание видео
Чтобы создать видео в ленте жертвы, злоумышленник сначала должен отправить запрос на создание видео в своей ленте. Запросы на создание генерируют новый идентификатор видео. На этом этапе злоумышленник копирует запрос на создание контента и сбрасывает его.
Используя выполнение JavaScript, как упомянуто выше, злоумышленник отправляет скопированный им запрос на создание видео и отправляет HTTP-запрос POST от имени жертвы.
На следующем снимке экрана демонстрируется запрос на создание видео в ленте жертв:

Кража данных через TikTok - легко, изображение №4



В ответе сервера указано, что видео было успешно создано:

Кража данных через TikTok - легко, изображение №5



Раскрытие конфиденциальных данных
По мере продолжения исследования выявлено, что можно выполнять код JavaScript с помощью

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

или других методов для получения конфиденциальной информации. Обнаружено несколько вызовов API в поддоменах

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

и

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

. Выполнение запросов к вышеупомянутым API открывает конфиденциальную информацию о пользователе, включая адрес электронной почты, платежную информацию, даты рождения и многое другое.

При попытке использовать уязвимости выполнения JavaScript, описанные выше, исследователи столкнулись с проблемой - механизмом Cross Origin Resource Sharing (CORS) и ограничениями безопасности Same Origin Policy (SOP). Похоже, что поддомены API позволяют сделать запрос только определенным источникам (например:

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

). Например, на следующем снимке экрана показан запрос API, отправленный с

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

:

Кража данных через TikTok - легко, изображение №6



Ответ заблокирован из-за ограничений безопасности:

Кража данных через TikTok - легко, изображение №7



оэтому пришлось обойти механизмы безопасности CORS и SOP, чтобы получить всю конфиденциальную информацию, которая там лежала.
Tiktok реализовал нетрадиционный обратный вызов JSONP, который предоставляет метод для запроса данных с серверов API без ограничений CORS и SOP! Обход этих механизмов безопасности позволил украсть всю конфиденциальную информацию жертв, запустив AJAX-запрос к обратному вызову JSONP, в результате чего данные JSON были упакованы функцией JavaScript.

Результаты исследования
TikTok

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

для урегулирования жалоб и заявил, что будет соблюдать

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

. Управление британского комиссара по информации по-прежнему исследует TikTok, чтобы определить, нарушает ли он европейские законы о конфиденциальности, которые предлагают особую защиту несовершеннолетних и их данных.

Вывод
Видео в TikTok занимательны. Они создали главное направление, стиль, даже музыкальный жанр. Многие используют приложение TikTok, чтобы делиться приятными моментами и организовывать забавные воспоминания в виде коротких видеоклипов. Но, как стало понятно, существует тонкая грань между забавными клипами и частными, когда личные активы скомпрометированы, а юзеры при этом уверены, что находятся под защитой приложения.
Представленное исследование показывает риски, связанные с одним из самых популярных и широко используемых социальных приложений в мире. Такие риски усиливают насущную потребность в конфиденциальности и безопасности данных в кибер-мире, в котором мы живем. Утечки данных становятся эпидемией. Это смертельная проблема, с которой многие организации сталкиваются в глобальном масштабе просто потому, что данные распространяются повсюду.

Наши данные хранятся в разных соцсетях, и в них находится часто самая ценная конфиденциальная информация. Мы несем общую ответственность за защиту наших данных от компрометации и краж, потому обращаем внимание на попытки хищения информации и информируем общество об этом!

С вами был ФСБ! Надеюсь тебе понравилась моя статья. Подписывайся на мой профиль UfoLabs и на мой телеграм канал

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

 
Название темы
Автор Заголовок Раздел Ответы Дата
shellest Кража паролей: как наши учетки уводят через npm-пакет Уязвимости и взлом 0
Admin Кража логов Skype и истории посещений браузеров. Уязвимости и взлом 0
H База данных девушек Вопросы и интересы 0
Vlad400 Куплю базы данных. Прямо сейчас нужны БД ЗАГС и Росстат Куплю/Обменяю 0
Get.Leads [Email, Phone, Data...] Парсинг, сбор данных с любых сайтов Ищу работу. Предлагаю свои услуги. 0
ŘÃϻŻẸŜ База данных GetContact (140k number) Анонимность и приватность 2
Khan Создатель «Глаза Бога» обвинил Telegram в сливе данных Новости в сети 2
A Продам Базы данных Фнс Куплю/Обменяю 1
Khan DigitalOcean сообщила об утечке платежных данных клиентов Новости в сети 0
bu8ba Интересно База данных LOLZ Уязвимости и взлом 0
F Интересно Базы данных Украины Другое 3
yumpa Интересно Восстановление данных Полезные статьи 2
C Ищу базу данных ру Предоставляю работу. Ищу специалиста. 2
Anonymous/ssh Пробив данных Пробив информации/Прозвоны 0
A Куплю Нужен аккаунт Rainbow six siege с почтой для смены данных Аккаунты/Админки/Документы 0
Khan Утечка данных пользователей криптобиржи BuyUCoin Новости в сети 1
Khan Россиянин Кирилл Фирсов, задержанный в США по подозрению в похищении данных, признал свою вину Новости в сети 1
Denik Интересно База данных /г.москва/ Другое 3
F В базу данных Cit0day.in произошла утечка информации в ноябре 2020 г. Корзина 0
H Интересно Как проверить свой браузер на утечку данных Полезные статьи 0
Cashoutmoneyteam Мегаслив данных с пеймент процессора. Ищу партнёров. Кардинг предложения 2
H Vulners - сканер безопасности и база данных уязвимостей Корзина 0
H Методы и средства взлома баз данных MySQL Корзина 0
Boroborou Продам Базы крупных МФО - постоянные обновления свежих данных Карты/CC/Банки/Enroll 0
HiBatya Интересно В России похищена база данных клиентов крупнейшей в стране сети секс-шопов Новости в сети 0
RonyKing247 Продам Интересные базы данных о криптовалютах и Forex. Доступы - FTP, shell'ы, руты, sql-inj, БД 1
RonyKing247 Доступ администратора / веб-оболочки к определенным базам данных. Доступы - FTP, shell'ы, руты, sql-inj, БД 1
RonyKing247 2,000 || база данных everycoin.io || (Пользователи США) || Свободно Раздача email 1
John15 Продам Продам базу данных Ленты Все что не подошло по разделу 0
K Интересно Украина. Должники «Быстрозайм» База данных Другое 2
Denik Интересно Британские власти обвинили российских хакеров в попытке кражи данных исследований covid-19 Новости в сети 2
L Собираем информации о базах данных PostgreSQL используя Metasploit Уязвимости и взлом 0
LegolasGL Интересно В Украине задержали продавца одной из крупнейших баз данных в истории Новости в сети 2
LegolasGL Интересно Минобороны США внедрит блокчейн для защиты научно-исследовательских данных Новости в сети 0
A Интересно Sshprank: массовая проверка учётных данных SSH и быстрый сбор SSH баннеров Уязвимости и взлом 0
LegolasGL Интересно У провайдера фиатных сервисов биржи Kraken произошла утечка данных пользователей Новости в сети 0
LegolasGL Интересно Хакеры потребовали 100 BTC у властей американского города за расшифровку данных Новости в сети 0
E Интересно Wi-Fi перехватчик данных( создание точки доступа ) WiFi/Wardriving/Bluejacking 7
D Продам Продам базу данных таксистов по Казахстану (Нурсултан) Доступы - FTP, shell'ы, руты, sql-inj, БД 0
АнАлЬнАя ЧуПаКаБрА NUM:PASS База данных ТЦ "Лента" Раздача email 0
B [Специалист] Анализ данных на языке SQL (2019) Полезные статьи 0
MaFio Конфиденциальность Windows 10: минимизируем передачу данных Настройка системы для работы 2
P Интересно Leak Ukraine wanted. 08.2019 | База данных разыскиваемых лиц Украины Другое 1
Admin RedJPEG - софт для сокрытия любых данных в JPEG изображении Spam/DDOS/Malware 0
Admin Срочное уничтожение данных на Android Анонимность и приватность 3
B Как установить и настроить ОС с надежным шифрованием данных Анонимность и приватность 0
A Что такое анализ данных? Полезные статьи 0
A Apple сообщила о запросах правоохранительных служб России на раскрытие данных пользователей Новости в сети 0
A Альманах - поисковая система - мануалы - база данных Ищу работу. Предлагаю свои услуги. 7
DedHul Куда сливают хакеры базы данных? Способы заработка 1

Название темы