Уязвимость в TikTok позволяла собирать личные данные пользователей

Исследователи из компании Check Point обнаружили проблему в безопасности TikTok. Найденный баг открываел доступ к данным профиля пользователя, в том числе к номеру телефона, уникальному ID, юзернейму, фотографии профиля, а также к некоторым настройкам, включая возможность скрыть профиль и управлять подписками. Сообщается, то в настоящее время разработчики уже устранили брешь в безопасности.

Корень проблемы крылся в функции «Найти друзей», основанной на синхронизацию контактов. Из-за этого баг касался лишь тех пользователей, которые решили связать свой номер телефона с учетной записью (что не является обязательным) или вошли в систему с помощью номера телефона.

Уязвимость работала следующим образом:

  • сначала требовалось подготовить список устройств (идентификаторов устройств) для запросов к серверам TikTok;
  • далее нужно было создать список токенов сеанса (каждый действителен в течение 60 дней), которые будут использоваться для запросов к серверам TikTok: одни и те же файлы cookie использовались для входа в систему в течение нескольких недель;
  • обойти механизм подписи HTTP-сообщений в TikTok, тем самым автоматизировав процесс загрузки и синхронизации контактов в любом масштабе;
  • о­бъединить все вышеописанное в цепочку, изменяя HTTP-запросы, и обходя электронную подпись;
  • использовать различные токены сеанса и идентификаторы устройств, чтобы обмануть защитные механизмы TikTok и поставить сбор данных на поток.

«В этот раз нашей основной задачей стало исследование защиты персональной информации в TikTok. Мы решили проверить, можно ли использовать платформу для получения личных данных пользователей. Оказалось, что можно. Нам удалось обойти несколько механизмов защиты TikTok, тем самым нарушив конфиденциальность приложения. Используя эту уязвимость, киберпреступники могли бы создать базу данных пользователей и их номеров телефонов. Обладатели этой информации получили бы возможность осуществлять целевые фишинговые атаки и другие преступные действия. Мы призываем пользователей TikTok указывать как можно меньше данных о себе и регулярно обновлять операционную систему и приложения до последней версии», — комментирует глава Check Point Software Technologies по исследованию уязвимостей продуктов Одед Вануну.

Напомню, что аналитики Check Point не впервые сообщают о проблемах в TikTok. В январе прошлого года исследователи опубликовали большой отчет, в котором рассказали о целом ряде уязвимостей в приложении. Баги позволяли злоумышленнику, который знал номер телефона жертвы, манипулировать чужими учетными записями и получать доступ к личным данным.

Источник