В TikTok нашли уязвимость, позволяющую получить доступ к личным данным юзеров

Источник: Unsplash/Olivier Bergeron

Компания Check Point Software Technologies опубликовала на своём веб-сайте информацию о отысканной её спецами уязвимости. Речь идёт о бреши в сохранности TikTok, благодаря которой злоумышленники могли получить доступ к индивидуальным данным юзеров.

В базу способа взлома легла функция «Отыскать друзей» — с её помощью можно было получить доступ к таковым данным юзера TikTok, как номер телефона, неповторимый ID, юзернейм и т.д. При всем этом баг дозволял ещё и управлять некими опциями профиля, в том числе скрывать сам профиль и управлять подписками.

Спецы Check Point Software Technologies уточнили, что уязвимость касалась только тех юзеров, которые решили связать собственный номер телефона с учётной записью или вначале зарегались в соцсети данным способом.

Работала схема взлома последующим образом:

    подготовка перечня устройств (ID устройств) для запросов к серверам TikTok;
    создание перечня токенов сеанса (любой из их действителен в течение 60 дней), они нужны конкретно для запросов к серверам соцсети;
    обход механизма подписи HTTP-сообщений в TikTok, что позволило заавтоматизировать загрузку и синхронизацию контактов в любом масштабе;
    создание одной общей цепочки из всего описанного чуть повыше, меняя HTTP-запросы и обходя электрическую подпись;
    внедрение различных токенов сеанса и ID устройств для обмана устройств защиты TikTok;
    поставка сбора данных на поток.

Создатели ByteDance были сходу же ознакомлены о наличии бреши в TikTok. На момент написания материала, они закрыли уязвимость.

Источник: Engadget

Источник: tproger.ru

Поделиться с друзьями:
Андройд IT
Добавить комментарий