Pomocí objevené bezpečnostní chyby obejít několik ochranných mechanismů TikToku.
Check Point odhalil novou zranitelnost v TikToku, která se ukrývala ve funkci pro vyhledávání přátel. V případě zneužití zranitelnosti by mohli útočníci získat přístup k podrobnostem o profilu a telefonnímu číslu uživatele a vytvořit tak databázi pro další škodlivé aktivity. Kromě toho bylo možné získat informace o přezdívce, profilové obrázky nebo například unikátní ID uživatele.
Popis zneužití zranitelnosti
1. Vytvoření seznamu zařízení (ID zařízení), která budou použita k dotazování na servery TikTok.
2. Vytvoření seznamu tokenů (každý token je platný po dobu 60 dnů), které budou použity pro dotazy na serverech TikTok.
3. Obejití mechanismu pro podepisování HTTP zpráv pomocí vlastní podpisové služby spuštěné na pozadí.
4. Propojení všech kroků úpravou HTTP požadavků, jejich opětovné podepsání a použití různých tokenů a ID zařízení k obejití ochranných mechanismů TikToku.
Check Point o svých zjištěních informoval společnost ByteDance, tvůrce TikToku. Následně bylo nasazena oprava.
„Snažili jsme se tentokrát prozkoumat ochranu soukromí na TikToku. Byli jsme zvědaví, zda lze platformu TikTok použít k získání soukromých uživatelských dat. Ukázalo se, že ano, protože jsme pomocí objevené zranitelnosti dokázali obejít několik ochranných mechanismů TikToku. Zranitelnost mohla útočníkům umožnit vytvořit databázi informací o uživatelích a jejich telefonních čísel. Hackeři by podobná citlivá data mohli zneužít k celé řadě škodlivých aktivit, jako je spearphishing nebo jiná trestná činnost. Doporučujeme pro jistotu sdílet na TikToku minimum osobních informací,“ uvedl Peter Kovalčík, Regional Director, Security Engineering EE ve společnosti Check Point.
