В TikTok обнаружили уязвимость, позволяющую получить доступ к личным данным пользователей
Новости
Стоит отметить, что для того, чтобы воспользоваться ею, надо было очень сильно заморочиться
335 открытий344 показов
Компания Check Point Software Technologies опубликовала на своём сайте информацию о найденной её специалистами уязвимости. Речь идёт о бреши в безопасности TikTok, благодаря которой злоумышленники могли получить доступ к персональным данным пользователей.
В основу метода взлома легла функция «Найти друзей» — с её помощью можно было получить доступ к таким данным пользователя TikTok, как номер телефона, уникальный ID, юзернейм и т.д. При этом баг позволял ещё и управлять некоторыми настройками профиля, в том числе скрывать сам профиль и управлять подписками.
Специалисты Check Point Software Technologies уточнили, что уязвимость касалась лишь тех пользователей, которые решили связать свой номер телефона с учётной записью либо изначально зарегистрировались в соцсети данным методом.
Работала схема взлома следующим образом:
- подготовка списка устройств (ID устройств) для запросов к серверам TikTok;
- создание списка токенов сеанса (каждый из них действителен в течение 60 дней), они необходимы непосредственно для запросов к серверам соцсети;
- обход механизма подписи HTTP-сообщений в TikTok, что позволило автоматизировать загрузку и синхронизацию контактов в любом масштабе;
- создание одной общей цепочки из всего описанного выше, меняя HTTP-запросы и обходя электронную подпись;
- использование разных токенов сеанса и ID устройств для обмана механизмов защиты TikTok;
- поставка сбора данных на поток.
Разработчики ByteDance были сразу же осведомлены о наличии бреши в TikTok. На момент написания материала, они закрыли уязвимость.
Источник: Engadget
335 открытий344 показов