Источник: Unsplash/Olivier Bergeron
Компания Check Point Software Technologies опубликовала на своём сайте информацию о найденной её специалистами уязвимости. Речь идёт о бреши в безопасности TikTok, благодаря которой злоумышленники могли получить доступ к персональным данным пользователей.
В основу метода взлома легла функция «Найти друзей» — с её помощью можно было получить доступ к таким данным пользователя TikTok, как номер телефона, уникальный ID, юзернейм и т.д. При этом баг позволял ещё и управлять некоторыми настройками профиля, в том числе скрывать сам профиль и управлять подписками.
Специалисты Check Point Software Technologies уточнили, что уязвимость касалась лишь тех пользователей, которые решили связать свой номер телефона с учётной записью либо изначально зарегистрировались в соцсети данным методом.
Работала схема взлома следующим образом:
-
подготовка списка устройств (ID устройств) для запросов к серверам TikTok;
создание списка токенов сеанса (каждый из них действителен в течение 60 дней), они необходимы непосредственно для запросов к серверам соцсети;
обход механизма подписи HTTP-сообщений в TikTok, что позволило автоматизировать загрузку и синхронизацию контактов в любом масштабе;
создание одной общей цепочки из всего описанного выше, меняя HTTP-запросы и обходя электронную подпись;
использование разных токенов сеанса и ID устройств для обмана механизмов защиты TikTok;
поставка сбора данных на поток.
Разработчики ByteDance были сразу же осведомлены о наличии бреши в TikTok. На момент написания материала, они закрыли уязвимость.
Источник: Engadget
Источник: