Check Point Research (CPR) kohët e fundit ka zbuluar një cenueshmëri në funksionim "Gjeni miq" nga TIK Tok duke i anashkaluar ato mbrojtjen e privatësisë.
ΑNëse kjo dobësi nuk adresohej, do të lejonte një sulmues të aksesonte detajet e profilit të përdoruesit dhe numrat e telefonit të lidhur me llogarinë e tyre, duke bërë të mundur krijimin e një baze të dhënash informacioni për përdorim në aktivitet keqdashës në të ardhmen.
Hetuesit e CPR gjetën dy herë të meta sigurie TIK Tok. Profilet më të fundit të aksesueshëm përmes dobësisë përfshijnë: numrin e telefonit, pseudonimin, fotot dhe avatarin e profilit, ID-të unike të përdoruesve dhe disa cilësime të profilit, të tilla si nëse përdoruesi është ndjekës ose nëse profili i tij është i kyçur.
Si mund ta shfrytëzojnë ndërhyrës këtë cenueshmëri:
- Krijo një listë të ID-ve të pajisjes që do të përdoren për të kërkuar serverët TikTok.
- Krijoni një listë me argumente specifike për token (çdo token është i vlefshëm për 60 ditë) që do të përdoren për të kërkuar serverët TikTok.
- Anashkaloni mekanizmin e nënshkrimit të mesazheve të TikTok HTTP duke përdorur shërbimin e tyre të nënshkrimit në sfond.
- Lidhni të gjitha sa më sipër duke modifikuar kërkesat HTTP, duke i injoruar ato dhe duke përdorur shenja të ndryshme dhe ID pajisjesh për të anashkaluar mekanizmat e mbrojtjes TikTok.
Hapat që pasuan Check Check Research dhe ByteDance…
CPR me përgjegjësi ia zbuloi gjetjet e veta prodhuesit të TikTok ByteDance. E mira ishte se krijuesit e saj TIK Tok kanë zhvilluar një zgjidhje për të siguruar që përdoruesit e TikTok mund të vazhdojnë ta përdorin aplikacionin në mënyrë të sigurt.
Në hulumtimin e saj të mëparshëm mbi TIK Tok, CPR kishte gjetur tashmë dy herë të meta sigurie në të.
Më 8 janar 2020, CPR publikoi një dokument mbi një sërë dobësish që mund të lejojnë një agjent kërcënimi të fitojë akses në informacionin personal
të ruajtura në llogaritë e përdoruesve, të manipulojnë informacionin e llogarisë së përdoruesit ose të ndërmarrin veprime në emër të një përdoruesi pa pëlqimin e tij ose të saj.
Oded Vanunu, Shef i Kërkimit të Vulnerabilitetit të Produkteve në Check Pika tha:
Një ndërhyrës me këtë nivel informacioni të ndjeshëm mund të kryejë një sërë aktivitetesh keqdashëse, si peshkimi kibernetik ose aktivitete të tjera kriminale. Mesazhi ynë për përdoruesit e TikTok është të ndajnë pak nga të dhënat e tyre personale. Si dhe përditësojnë sistemin e tyre operativ dhe aplikacionet në versionet më të fundit.
Një zëdhënës i TikTok tha:
Mos harroni ta ndiqni Xiaomi-miui.gr në Google News për t'u informuar menjëherë për të gjithë artikujt tanë të rinj!