Σάββατο, 20 Φεβρουαρίου, 16:45
Αρχική security TikTok: Διόρθωσε ευπάθεια που θα επέτρεπε την κλοπή αριθμών τηλεφώνου

TikTok: Διόρθωσε ευπάθεια που θα επέτρεπε την κλοπή αριθμών τηλεφώνου

Το TikTok ξεκίνησε ένα πρόγραμμα bug bounty μετά την ανακάλυψη διαφόρων τρωτών σημείων στην εφαρμογή του. Αυτή η προσπάθεια φαίνεται να έχει καλά αποτελέσματα, καθώς πρόσφατα το TikTok διόρθωσε ένα σοβαρό ελάττωμα που ανακάλυψε η εταιρεία ασφάλειας Check Point Research. Η ευπάθεια θα επέτρεπε στους χάκερ να χρησιμοποιούν τη λειτουργία “Friend Finder” της εφαρμογής για να κλέψουν διάφορες λεπτομέρειες από τα προφίλ και τους τηλεφωνικούς αριθμούς των χρηστών και, στη συνέχεια, να δημιουργήσουν μια βάση δεδομένων με πληροφορίες που θα μπορούσαν να χρησιμοποιηθούν για κακόβουλες επιθέσεις.

TikTok

Οι ερευνητές της Check Point παρατήρησαν ένα ελάττωμα στον τρόπο με τον οποίο οι servers του TikTok επιβεβαίωναν ότι τα αιτήματα Friend Finder προέρχονταν από νόμιμα τηλέφωνα. Χρησιμοποιώντας ένα μοναδικό αναγνωριστικό συσκευής για κάθε τηλέφωνο χρήστη, η εφαρμογή δημιουργεί ένα user token και ένα cookie περιόδου σύνδεσης. Ωστόσο, η ομάδα διαπίστωσε ότι τα cookies ήταν έγκυρα για περίπου 60 ημέρες, επιτρέποντάς τους να χρησιμοποιηθούν σε εικονικές συσκευές αντί για φυσικά τηλέφωνα.

Η ευπάθεια θα μπορούσε να επιτρέψει σε έναν χάκερ να δημιουργήσει μια βάση δεδομένων με στοιχεία χρηστών και τους αντίστοιχους τηλεφωνικούς αριθμούς τους. Ένας χάκερ με αυτόν τον βαθμό ευαίσθητων πληροφοριών θα μπορούσε να εκτελέσει μια σειρά από κακόβουλες δραστηριότητες, όπως phishing καμπάνιες ή άλλες εγκληματικές ενέργειες. Το μήνυμα των ερευνητών προς τους χρήστες του TikTok είναι ότι πρέπει να μοιράζονται τις λιγότερες δυνατές πληροφορίες από τα προσωπικά τους δεδομένα. Επίσης, πρέπει να ενημερώνουν το λειτουργικό τους σύστημα και τις εφαρμογές τους στις πιο πρόσφατες εκδόσεις.

Χρησιμοποιώντας ορισμένα εργαλεία hacking, θα μπορούσαν να παρακάμψουν το “HTTP message signing” του TikTok, να αλλάξουν τη λειτουργία για να αποκτήσουν επαφές και να υπογράψουν ξανά το αίτημα. Επειδή όλα αυτά έγιναν σε μια εικονική συσκευή, η διαδικασία θα μπορούσε να αυτοματοποιηθεί. Αυτό επέτρεψε στους ερευνητές να δημιουργήσουν μια βάση δεδομένων με «τηλεφωνικούς αριθμούς, ψευδώνυμα, μοναδικά αναγνωριστικά χρήστη και ρυθμίσεις, όπως και εάν ένας χρήστης είναι follower ή εάν το προφίλ ενός χρήστη είναι ιδιωτικό», σύμφωνα με την Check Point.

Η Check Point είπε ότι ανακάλυψε την ευπάθεια τους τελευταίους μήνες. “Η Check Point Research ενημέρωσε τους developers και τις ομάδες ασφαλείας μας σχετικά με αυτό το ζήτημα και αναπτύχθηκε υπεύθυνα μια λύση για να διασφαλιστεί ότι οι χρήστες μπορούν να συνεχίσουν με ασφάλεια τη χρήση της εφαρμογής TikTok”, δήλωσε η εταιρεία.

Πηγή πληροφοριών: engadget.com

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

LIVE NEWS

Google Assistant: Πώς μπορείτε να διαγράψετε τις ηχογραφήσεις σας;

Το Google Assistant μπορεί να σας διευκολύνει πολύ στην καθημερινότητά σας. Ωστόσο, συνεπάγεται και κάποια ζητήματα ως προς το απόρρητο, καθώς όσα...

Microsoft: Office 2021 / Office LTSC έρχονται το δεύτερο εξάμηνο του 2021

Η Microsoft ανακοίνωσε ότι θα κυκλοφορήσει μέσα στο 2021 το Microsoft Office Long Term Servicing Channel (LTSC) και το Office 2021, για...

Πώς να δημιουργήσετε με γρήγορο τρόπο QR codes με το Bing

Αν χρειαστεί ποτέ να δημιουργήσετε έναν QR code, αλλά δεν ξέρετε πως, η Microsoft διαθέτει ένα εύχρηστο εργαλείο διαθέσιμο σε οποιοδήποτε πρόγραμμα...

Brave: Διέρρευσαν διευθύνσεις onion σε DNS traffic

Η λειτουργία Tor που περιλαμβάνεται στον Brave web browser, επιτρέπει στους χρήστες να έχουν πρόσβαση σε .onion dark web domains μέσα σε...

Ποιες είναι οι 6 πιο γνωστές επιθέσεις σε gaming εταιρείες;

Πριν μερικές ημέρες, η εταιρεία gaming Big Huge Games ενημέρωσε τους παίκτες ότι υπήρξε θύμα μιας επίθεσης, η οποία επηρέασε δεδομένα της...

Οι δωροκάρτες του Xbox πωλούνται με έκπτωση 10% στο Amazon

Οι κάτοχοι των Xbox μπορούν να εξοικονομήσουν λίγα χρήματα σε παιχνίδια, add-ons, συνδρομές και πολλά άλλα, αν ψωνίσουν τις δωροκάρτες Xbox στο...

Perseverance: Το διαστημικό όχημα της NASA προσεδαφίστηκε στον Άρη!

Το διαστημικό όχημα «Perseverance» προσεδαφίστηκε επιτυχώς χθες, λίγο πριν τις 11 το βράδυ ώρα Ελλάδος στον Άρη. Στόχος αυτής της αποστολής της...

YouTube: Μπορείτε να αναπαράγετε βίντεο 4K σε συσκευές με οθόνες χαμηλής ανάλυσης

Η εφαρμογή Youtube σε Android σας επιτρέπει να αναπαράγετε βίντεο με ανάλυση έως 4K. Το μόνο που χρειάζεστε είναι ένα τηλέφωνο με...

Top θέσεις Software Engineering και δεξιότητες coding για το 2021

Λόγω του COVID-19, οι προσπάθειες πρόσληψης και οι ευκαιρίες απασχόλησης σημείωσαν σημαντική πτώση πέρυσι. Ωστόσο, ο κλάδος της τεχνολογίας αποδείχθηκε πιο ανθεκτικός...
00:10:13

Phishing emails: Πώς να τα αναγνωρίσετε και πώς να προστατευτείτε;

https://www.youtube.com/watch?v=iME-CzlKVzc Το phishing είναι ίσως η μεγαλύτερη απειλή στον κυβερνοχώρο εδώ και περισσότερα από πέντε χρόνια. Γι΄...