Populárna služba TikTok čelila minulý rok kritike kvôli svojmu slabému zabezpečeniu. Rovnako tomu je aj v tomto roku. Portál TheHackerNews informuje o chybe v TikToku, ktorá môže viesť k odcudzeniu dát a telefónnych čísiel v používateľskom profile.
TikTok: Chyba sa týkala používateľov, ktorí sa zaregistrovali cez telefónne číslo
Experti v oblasti kybernetickej bezpečnosti zverejnili v utorok už opravenú bezpečnostnú chybu v TikToku, ktorá mohla potenciálne umožniť útočníkovi vytvoriť si databázu používateľov aplikácie a ich telefónnych čísel pre budúcu škodlivú činnosť. Chyba sa týkala iba tých používateľov, ktorí si prepojili telefónne číslo so svojím účtom alebo sa prihlásili pomocou telefónneho čísla. TikTok by už mal chybu po jej nahlásení výskumníkmi bezpečnostnej spoločnosti Check Point opraviť.
- TikTok ide na súd. Žalobu podáva len 12-ročné dievča
- Veľký míľnik pre TikTok: Prvý používateľ má 100 miliónov sledovateľov
Našou primárnou motiváciou tentokrát bolo preskúmať súkromie TikToku. Boli sme zvedaví, či je možné platformu TikTok použiť na získanie súkromných údajov používateľov. Ukázalo sa, že odpoveď bola kladná, pretože sa nám podarilo obísť viac ochranných mechanizmov TikToku, ktoré vedú k narušeniu ochrany súkromia. Útočník s takýmto stupňom citlivých informácií by mohol vykonávať celý rad škodlivých aktivít, ako je napríklad phishing alebo iné trestné činy.
Oded Vanunu, vedúci výskumu zraniteľnosti produktov v spoločnosti Check Point
Čo bolo podstatou zraniteľnosti?
Objavená chyba sa mala nachádzať vo funkcii „Nájsť priateľov“ aplikácie TikTok. Tá umožňuje používateľom synchronizovať svoje kontakty so službou a identifikovať tak potenciálnych ľudí, ktorých by mohli sledovať. Kontakty sa nahrávajú na TikTok prostredníctvom požiadavky HTTP vo forme zoznamu, ktorý obsahuje hašované mená kontaktov a príslušné telefónne čísla.
Aplikácia v ďalšom kroku odošle druhú požiadavku HTTP, ktorá načíta profily TikToku pripojené k telefónnym číslam odoslaným v predchádzajúcej žiadosti. Táto odpoveď obsahuje názvy profilov, telefónne čísla, fotografie a ďalšie informácie súvisiace s profilom.
Zatiaľ čo požiadavky na takúto synchronizáciu sú pre jedno zariadenie používateľa obmedzené na 500 kontaktov za deň, výskumníci z Check Point našli spôsob, ako toto obmedzenie obísť. Dokázali to získaním identifikátora zariadenia, pomocou jednorazových súborov cookie nastavených serverom a jedinečného tokenu s názvom X-Tt-Token.
Platnosť súboru cookie však bola nastavená na 60 dní, čím by mohli sťahovať zo serverov údaje o ostatných používateľoch spárované s ich telefónnymi číslami po dobu niekoľkých týždňov. Podľa expertov by databáza vytvorená prostredníctvom tejto zraniteľnosti obsahovala aj profilové fotografie, unikátne identifikátory a používateľské nastavenia aplikácie.
