Check Point Research (CPR) yakın zamanda operasyonda bir güvenlik açığı ortaya çıkardı "Arkadaş bulmak" arasında Tik tak onları atlayarak gizlilik korumaları.
ΑBu güvenlik açığı giderilmediği takdirde, bir saldırganın hesaplarıyla ilişkili kullanıcı profili ayrıntılarına ve telefon numaralarına erişmesine izin vererek, kullanım için bir bilgi veritabanı oluşturmayı mümkün kılacaktır. kötü niyetli etkinlik gelecekte
CPR müfettişleri iki kez güvenlik kusurları buldu Tik tak. En son güvenlik açığı profilleri şunları içerir: telefon numarası, takma ad, profil resimleri ve avatar, benzersiz kullanıcı kimlikleri ve kullanıcının takipçi mi yoksa profilinin kilitli mi olduğu gibi bazı profil ayarları.
Davetsiz misafirler bu güvenlik açığından nasıl yararlanabilir:
- TikTok sunucularını aramak için kullanılacak cihaz kimliklerinin bir listesini oluşturun.
- TikTok sunucularını aramak için kullanılacak belirteçlere özel belirteçlerin (her belirteç 60 gün geçerlidir) bir listesini oluşturun.
- Kendi arka plan imzalama hizmetini kullanarak TikTok HTTP mesaj imzalama mekanizmasını atlayın.
- HTTP isteklerini değiştirerek, onları yok sayarak ve TikTok koruma mekanizmalarını atlamak için çeşitli belirteçler ve cihaz kimlikleri kullanarak yukarıdakilerin tümünü bağlayın.
Check Check Research ve ByteDance'i takip eden adımlar…
CPR, bulgularını sorumlu bir şekilde TikTok üreticisi ByteDance'e açıkladı. Olumlu tarafı, yaratıcılarının Tik tak TikTok kullanıcılarının uygulamayı güvenli bir şekilde kullanmaya devam edebilmelerini sağlamak için bir çözüm geliştirdik.
Daha önceki araştırmalarında Tik tak, CPR zaten iki kez güvenlik kusurları bulmuştu.
8 Ocak 2020'de CPR, bir tehdit ajanının kişisel bilgilere erişmesine izin verebilecek bir dizi güvenlik açığı hakkında bir makale yayınladı.
kullanıcı hesaplarında saklanamaz, kullanıcı hesap bilgilerini manipüle edemez veya bir kullanıcının rızası olmadan onun adına işlem yapamaz.
Oded Vanunu, Check'te Ürün Güvenlik Açığı Araştırması Başkanı Nokta belirtti:
Bu düzeyde hassas bilgilere sahip bir davetsiz misafir, siber balıkçılık veya diğer suç faaliyetleri gibi bir dizi kötü niyetli faaliyette bulunabilir. TikTok kullanıcılarına mesajımız, kişisel verilerinin çok azını paylaşmalarıdır. İşletim sistemlerini ve uygulamalarını en son sürümlere güncellemenin yanı sıra.
Bir TikTok sözcüsü şunları söyledi:
takip etmeyi unutmayın Xiaomi-miui.gr at Google Haberler tüm yeni yazılarımızdan hemen haberdar olmak için!