В TikTok обнаружили уязвимость, позволяющую получить доступ к личным данным пользователей

Стоит отметить, что для того, чтобы воспользоваться ею, надо было очень сильно заморочиться
Источник: Unsplash/Olivier Bergeron

Компания Check Point Software Technologies опубликовала на своём сайте информацию о найденной её специалистами уязвимости. Речь идёт о бреши в безопасности TikTok, благодаря которой злоумышленники могли получить доступ к персональным данным пользователей.

В основу метода взлома легла функция «Найти друзей» — с её помощью можно было получить доступ к таким данным пользователя TikTok, как номер телефона, уникальный ID, юзернейм и т.д. При этом баг позволял ещё и управлять некоторыми настройками профиля, в том числе скрывать сам профиль и управлять подписками.

Специалисты Check Point Software Technologies уточнили, что уязвимость касалась лишь тех пользователей, которые решили связать свой номер телефона с учётной записью либо изначально зарегистрировались в соцсети данным методом.

Работала схема взлома следующим образом:

  • подготовка списка устройств (ID устройств) для запросов к серверам TikTok;
  • создание списка токенов сеанса (каждый из них действителен в течение 60 дней), они необходимы непосредственно для запросов к серверам соцсети;
  • обход механизма подписи HTTP-сообщений в TikTok, что позволило автоматизировать загрузку и синхронизацию контактов в любом масштабе;
  • создание одной общей цепочки из всего описанного выше, меняя HTTP-запросы и обходя электронную подпись;
  • использование разных токенов сеанса и ID устройств для обмана механизмов защиты TikTok;
  • поставка сбора данных на поток.

Разработчики ByteDance были сразу же осведомлены о наличии бреши в TikTok. На момент написания материала, они закрыли уязвимость.

Источник: Engadget