Новая уязвимость TikTok позволяет собирать личные данные пользователей

AmneziaWG

DOMINUS

«EDEM CORP»
Original poster
Moderator
Сообщения
740
Реакции
59
Посетить сайт
Уязвимость позволит злоумышленникам получать доступ к личным данным в профилях пользователей, в том числе к номеру телефона.

Checkpoint обнаружила брешь в функции «Найти друзей» в TikTok. Если ее не устранить, данная уязвимость позволит злоумышленникам получать доступ к личным данным в профилях пользователей, в том числе к номеру телефона, привязанному к аккаунту, нику, уникальному ID пользователя, фотографии профиля, а также к некоторым настройкам, включая возможности скрыть профиль и управлять подписками. Полученную информацию злоумышленники могут использовать в преступных целях.

По данным TikTok, каждый месяц новыми пользователями приложения становятся 100 миллионов человек по всему миру, а число скачиваний уже превысило 2 миллиарда — это втрое больше, чем в 2018 году. Аналитики компании App Annie, которая занимается мобильными данными, прогнозируют, что в 2021 году число активных пользователей TikTok достигнет 1 миллиарда пользователей в месяц, и приложение сравняется по популярности с Facebook, Instagram, Messenger, WhatsApp, YouTube и WeChat.

Чтобы пользователи TikTok могли не опасаться за свою личную информацию, команда экспертов Check Point Research провела исследование и сообщила о найденной уязвимости ByteDance — компании-разработчику TikTok. Было срочно развернуто решение для ее устранения, чтобы пользователи TikTok могли и дальше безопасно использовать приложение.

Как злоумышленники могли использовать уязвимость:
  1. Сначала потребовалось бы создать список устройств (идентификаторов устройств) для запросов к серверам TikTok.
  2. Далее создать список токенов сеанса (каждый действителен в течение 60 дней), которые будут использоваться для запросов к серверам TikTok.
  3. Обойти механизм подписи HTTP-сообщений TikTok с помощью замены сервиса электронной подписи, выполняемой в фоновом режиме.
  4. Объединить все это в цепочку, изменяя HTTP-запросы, и заменить их электроную подпись
  5. Использовать различные токены сеанса и идентификаторы устройств, чтобы обойти механизмы защиты TikTok.
Исследователи Check Point Research дважды находили уязвимости в TikTok. В первый раз, 8 января 2020 года, в блоге Check Point Research был опубликован документ, в котором сообщалось о наборе уязвимостей, используя которые злоумышленники могли получить доступ к личной информации, сохраненной в учетных записях, или предпринимать действия от имени пользователя без его согласия.

«В этот раз нашей основной задачей стало исследование защиты персональной информации в TikTok. Мы решили проверить, можно ли использовать платформу для получения личных данных пользователей. Оказалось, что можно. Нам удалось обойти несколько механизмов защиты TikTok, тем самым нарушив конфиденциальность приложения. Используя эту уязвимость, киберпреступники могли бы создать базу данных пользователей и их номеров телефонов. Обладатели этой информации получили бы возможность осуществлять целевые фишинговые атаки и другие преступные действия. Мы призываем пользователей TikTok указывать как можно меньше данных о себе и регулярно обновлять операционную систему и приложения до последней версии», — прокомментировал глава Check Point Software Technologies по исследованию уязвимостей продуктов Одед Вануну.

«Безопасность и конфиденциальность данных пользователей TikTok является нашим главным приоритетом. Мы ценим помощь доверенных партнеров, таких как Check Point, которые помогают нам обнаруживать потенциальные угрозы до того, как они затронут пользователей. Мы продолжаем укреплять защиту — совершенствуем наши внутренние возможности, увеличиваем инвестиции в автоматические системы безопасности, а также сотрудничаем с другими организациями», — говорит представитель TikTok.
 
  • Like
Реакции: Admin
D

default_user

Это не баг, а фича от Китайских товарищей.
 
Название темы
Автор Заголовок Раздел Ответы Дата
T Новая уязвимость в VirtualBox, позволяющая выполнить код на стороне хост-системы Полезные статьи 0
Emilio_Gaviriya Статья Новая Эра приватности в мессенджерах: Отслеживание и защита. Анонимность и приватность 0
Support81 Новая функция в блокчейне Ethereum Create2 стала причиной кражи $60 млн Новости в сети 0
Denik Интересно Новая тактика Nobelium делает кибератаки практически незаметными Новости в сети 0
D Продам ⚡KILLNET - Новая технология убийства сети Все что не подошло по разделу 1
H Новая P2P биржа раздает свои токены Shiftal Coin (SFL) Корзина 0
C CASINO SCAM | 80% | Новая Команда Предоставляю работу. Ищу специалиста. 0
Denik Интересно Новая разработка военных США позволит распознавать лица в темноте Новости в сети 4
S Новая раздача токенов 25 OGN ( 5,8 $ уже торгуется ) Способы заработка 3
L Заработок без вложений. Новая схема Корзина 5
G От 1000 ₽ до 10.000 ₽ в день | Новая партнерка Способы заработка 1
H Новая версия трояна Quant “научилась” атаковать криптокошельки Новости в сети 0
S Новая версия банкера Svpeng обзавелась функциональностью кейлоггера Новости в сети 0
Admin Новая анонимная сеть Riffle Анонимность и приватность 0
Support81 Хакеры сами устраняют уязвимость BIG-IP: борьба за эксклюзивный доступ к зараженным системам Новости в сети 0
Support81 Пользователи Windows, будьте осторожны: DarkGate использует уязвимость нулевого дня Новости в сети 0
Support81 Ботнет DreamBus использует уязвимость в RocketMQ для распространения майнера Новости в сети 0
Support81 Слив года: уязвимость Vyper стала инструментом массового оттока криптовалюты Новости в сети 0
Support81 Как взломать сайт за 5 минут: уязвимость в плагине Ultimate Member дает полный доступ к WordPress Новости в сети 0
S OpenSMTPD критическую уязвимость Уязвимости и взлом 0
O Тысячи Android-приложений могут содержать RCE-уязвимость Новости в сети 0
B В антивирусе McAfee нашли уязвимость повышения прав Уязвимости и взлом 0
S Интересная уязвимость одноразовой почты Уязвимости и взлом 1
S Критическая уязвимость в системах шифрования email на основе PGP/GPG и S/MIME Уязвимости и взлом 0
H Найдена уязвимость во всех версиях Windows, которую не закрывает ни один антивирус Новости в сети 0
S Критическая уязвимость в чипах Wi-Fi затрагивает миллионы Android- и iOS-устройств Новости в сети 0
S В Linux обнаружена критическая уязвимость Новости в сети 0
R Продам КРЕАТИВЫ / SHAWTYCLUB \ FACEBOOK TWITTER X GOOGLE TIKTOK Услуги дизайнеров/веб-разработчиков 2
fireaccs Продам FIRE-ACCS.BIZ - Магазин Аккаунтов Twitter, Telegram, Instagram, Facebook, TikTok, ВК, OK, Twitch, Discord и т.д. Аккаунты/Админки/Документы 1
N Zabugor USA GOOD For (FACEBOOK, TWITTER, TIKTOK, INSTAGRAM, ETC) 1.4M Раздача email 0
N MIX 2ML BASE SHOP FACEBOOK ADS TAXI ACQUAINTANCES TWITTER TWITCH TIKTOK NETFLIX INSTAGRAM Раздача email 0
N MIX 1.1M FACEBOOK TWITTER TIKTOK INSTAGRAM ETC Раздача email 0
N Zabugor COMBO FRESH №1✔️ 1M USA FACEBOOK TWITTER TIKTOK INSTAGRAM TINDER ETC Раздача email 0
N MIX COMBO FRESH №1✔️ 1GB FACEBOOK NETFLIX AMAZON LINKEDIN PSN TIKTOK BASE Раздача email 0
N Zabugor COMBO FRESH №1✔️ Gmail INetflix facebook TIKTOK tinder likedin Раздача email 0
smmbanda_support SMMBanda.com | Живые просмотры YouTube, TikTok, Instagram, VK, Facebook, Twitter. Лайки, комментарии Ищу работу. Предлагаю свои услуги. 7
Zarik3232 Продам Накрутка instagram telegram vkontate youtube twitch facebook tiktok и тд Все что не подошло по разделу 35
smmgoal Smmgoal.com ⭐instagram | youtube|twitter | tiktok| facebook|twich|soundcloudltraffic⭐ Ищу работу. Предлагаю свои услуги. 3
R Услуги по YT, VK, Inst, TikTok, Facebook! richsmm.ru Ищу работу. Предлагаю свои услуги. 0
SMMStats SMMStats.ru - Накрутим везде. Более 2500 SMM услуг по раскрутке. YouTube, TikTok, Instagram, VK, Telegram, Twitter.. Лайки, комментарии, подписчики... Ищу работу. Предлагаю свои услуги. 13
H Кража данных через TikTok - легко Корзина 0
H OSINT в TikTok Корзина 0
J Способ заработать на пиво. Набрать подписчиков VK/INST/FACEB/TELEG/TIKTOK. [В теме ИНФО] Способы заработка 1
M TikTok Tool PRO - продвижения в ТикТок [Cracked by PC-RET] Корзина 3

Название темы