Check Point Research (CPR) 最近揭示了一个运行中的漏洞 《找朋友》 的 TikTok 绕过他们 隐私保护.
Α如果不解决此漏洞,攻击者将可以访问与其帐户关联的用户配置文件详细信息和电话号码,从而可以创建信息数据库以用于 恶意活动 在未来。
心肺复苏调查员两次发现安全漏洞 TikTok. 最新的漏洞配置文件包括:电话号码、昵称、头像和头像、唯一用户ID,以及一些配置文件设置,例如用户是否是关注者或他们的个人资料是否被锁定。
入侵者如何利用此漏洞:
- 创建将用于搜索 TikTok 服务器的设备 ID 列表。
- 创建将用于搜索 TikTok 服务器的特定于令牌的令牌列表(每个令牌的有效期为 60 天)。
- 使用自己的后台签名服务绕过 TikTok HTTP 消息签名机制。
- 通过修改 HTTP 请求、忽略它们并使用各种令牌和设备 ID 绕过 TikTok 保护机制来连接上述所有内容。
Check Check Research 和 ByteDance 之后的步骤......
CPR 负责任地向 TikTok 制造商字节跳动披露了其调查结果。 积极的是它的创造者 TikTok 已开发出解决方案,以确保 TikTok 用户可以继续安全地使用该应用程序。
在她之前的研究中 TikTok,CPR 已经两次发现其中的安全漏洞。
8 年 2020 月 XNUMX 日,CPR 发表了一篇关于一组漏洞的论文,这些漏洞可能允许威胁代理访问个人信息
存储在用户帐户中、操纵用户帐户信息或在未经用户同意的情况下代表用户采取行动。
奥德 Vanunu,Check 产品漏洞研究主管 点说:
这次我们的主要动机是调查 TikTok 隐私。 我们想知道该平台是否可用于获取其用户的个人数据。 答案是肯定的,因为我们设法绕过了 TikTok 导致隐私泄露的多重保护机制。 该漏洞可能允许攻击者创建包含用户详细信息及其相应电话号码的数据库。
拥有此级别敏感信息的入侵者可能会进行许多恶意活动,例如网络钓鱼或其他犯罪活动。 我们向 TikTok 用户传达的信息是尽量不要分享他们的个人数据。 以及将他们的操作系统和应用程序更新到最新版本。
TikTok 发言人说:
TikTok 社区的安全和隐私是我们的重中之重,我们重视 Check Point 等值得信赖的合作伙伴在识别潜在问题方面的工作,以便我们能够在它们影响我们的用户之前解决这些问题。 我们通过内部升级(例如投资于自动化防御系统)以及与第三方的合作,继续加强我们的防御。
不要忘记关注它 小米miui.gr 在 谷歌新闻 立即获悉我们所有的新文章!