Chyba TikTok mohla odhaliť profilové údaje a telefónne čísla používateľov

Výskumníci v oblasti kybernetickej bezpečnosti v utorok odhalili teraz opravenú bezpečnostnú chybu v TikTok, ktorá mohla potenciálne umožniť útočníkovi vybudovať databázu používateľov aplikácie a ich pridružených telefónnych čísel pre budúce škodlivé aktivity.

Hoci sa táto chyba týka iba tých používateľov, ktorí si prepojili telefónne číslo so svojím účtom alebo sa prihlásili pomocou telefónneho čísla, úspešné využitie tejto zraniteľnosti mohlo viesť k úniku údajov a narušeniu súkromia, uviedol Check Point Research v analýze zdieľanej s The Hacker News.

TikTok nasadil opravu na odstránenie nedostatku po zodpovednom odhalení od výskumníkov Check Point.

Novoobjavená chyba sa nachádza vo funkcii „Nájsť priateľov“ TikTok, ktorá používateľom umožňuje synchronizovať svoje kontakty so službou a identifikovať potenciálnych ľudí, ktorých by mohli sledovať.

Kontakty sa nahrávajú do TikTok prostredníctvom požiadavky HTTP vo forme zoznamu, ktorý pozostáva z hashovaných mien kontaktov a príslušných telefónnych čísel.

Aplikácia v ďalšom kroku odošle druhú požiadavku HTTP, ktorá načíta profily TikTok pripojené k telefónnym číslam odoslaným v predchádzajúcej žiadosti. Táto odpoveď obsahuje názvy profilov, telefónne čísla, fotografie a ďalšie informácie súvisiace s profilom.

Zatiaľ čo požiadavky na odosielanie a synchronizáciu kontaktov sú obmedzené na 500 kontaktov za deň, na používateľa a zariadenie, výskumníci spoločnosti Check Point našli spôsob, ako toto obmedzenie obísť získaním identifikátora zariadenia, súborov cookie relácie nastavených serverom, jedinečného token s názvom „X-Tt-Token“, ktorý sa nastavuje pri prihlasovaní sa do účtu pomocou SMS a simuluje celý proces z emulátora so systémom Android 6.0.1.

Stojí za zmienku, že na vyžiadanie údajov z aplikačného servera TikTok musia požiadavky HTTP obsahovať hlavičky X-Gorgon a X-Khronos na overenie servera, čo zaisťuje, že správy nebudú sfalšované.

Ale úpravou požiadaviek HTTP – počtu kontaktov, ktoré chce útočník synchronizovať – a ich opätovným podpísaním s aktualizovaným podpisom správy, chyba umožnila automatizovať postup nahrávania a synchronizácie kontaktov vo veľkom meradle a vytvárať databázu. prepojených účtov a ich pripojených telefónnych čísel.

Toto nie je ani zďaleka prvý prípad, kedy sa zistilo, že populárna aplikácia na zdieľanie videí obsahuje bezpečnostné slabiny.

V januári 2020 výskumníci Check Point objavili viacero zraniteľností v aplikácii TikTok, ktoré mohli byť zneužité na získanie používateľských účtov a manipuláciu s ich obsahom, vrátane odstraňovania videí, nahrávania neoprávnených videí, zverejňovania súkromných „skrytých“ videí a odhaľovania osobných informácií. uložené na účte.

Potom v apríli odhalili bezpečnostní výskumníci Talal Haj Bakry a Tommy Mysk nedostatky v TikTok, ktoré útočníkom umožnili zobraziť falošné videá vrátane videí z overených účtov presmerovaním aplikácie na falošný server, na ktorom je umiestnená zbierka falošných videí.

Nakoniec spoločnosť TikTok minulý rok v októbri spustila partnerstvo s odmenou za chyby so spoločnosťou HackerOne, aby pomohla používateľom alebo bezpečnostným odborníkom označiť technické problémy s platformou. Kritické zraniteľnosti (skóre CVSS 9 – 10) majú nárok na výplaty medzi $6900 až 14 800 USD podľa programu.

“Našou primárnou motiváciou bolo tentoraz preskúmať súkromie TikTok,” povedal Oded Vanunu, vedúci výskumu zraniteľnosti produktov v Check Point. “Boli sme zvedaví, či je možné platformu TikTok použiť na získanie údajov o súkromných používateľoch. Ukázalo sa, že odpoveď bola áno, keďže sme dokázali obísť viaceré ochranné mechanizmy TikTok, ktoré vedú k porušovaniu súkromia.”

“Útočník s takým stupňom citlivých informácií by mohol vykonávať celý rad škodlivých aktivít, ako je spear phishing alebo iné trestné činy.”