В TikTok обнаружили уязвимость, позволяющую получить доступ к личным данным пользователей
Для этого надо было провести серьёзную подготовительную работу. Но труд на этом этапе позволял масштабировать сам взлом до невероятных количества устройств.
Компания Check Point Software Technologies опубликовала на своём сайте информацию о найденной её специалистами уязвимости. Речь идёт о бреши в безопасности TikTok, благодаря которой злоумышленники могли получить доступ к персональным данным пользователей.
В основу метода взлома легла функция «Найти друзей» — с её помощью можно было получить доступ к таким данным пользователя TikTok, как номер телефона, уникальный ID, юзернейм и т.д. При этом баг позволял ещё и управлять некоторыми настройками профиля, в том числе скрывать сам профиль и управлять подписками.
Специалисты Check Point Software Technologies уточнили, что уязвимость касалась лишь тех пользователей, которые решили связать свой номер телефона с учётной записью либо изначально зарегистрировались в соцсети данным методом.
Работала схема взлома следующим образом:
- подготовка списка устройств (ID устройств) для запросов к серверам TikTok;
- создание списка токенов сеанса (каждый из них действителен в течение 60 дней), они необходимы непосредственно для запросов к серверам соцсети;
- обход механизма подписи HTTP-сообщений в TikTok, что позволило автоматизировать загрузку и синхронизацию контактов в любом масштабе;
- создание одной общей цепочки из всего описанного выше, меняя HTTP-запросы и обходя электронную подпись;
- использование разных токенов сеанса и ID устройств для обмана механизмов защиты TikTok;
- поставка сбора данных на поток.
Разработчики ByteDance были сразу же осведомлены о наличии бреши в TikTok. На момент написания материала, они закрыли уязвимость.
Источник: Engadget