TikTok veoma zanimljiv i hakerima i korisnicima
Istraživači Check Pointa razvili su exploit nakon što su uočili propust u načinu na koji su TikTokovi serveri potvrdili da zahtevi za Find Friend dolaze sa legitimnih telefona. Koristeći jedinstveni ID uređaja za telefon svakog korisnika, aplikacija kreira korisnički token i kolačić sesije. Međutim, tim je otkrio da su kolačići važili do 60 dana, omogućavajući im upotrebu u virtuelnim uređajima umesto u fizičkim telefonima.
Ranjivost je dopustila napadaču da izgradi bazu podataka o korisničkim detaljima i njihovim brojevima telefona. Napadač sa tim stepenom osetljivih informacija mogao bi da izvrši niz zlonamernih aktivnosti, kao što je krađa, ili druge kriminalne radnje.
Koristeći neke alate za hakovanje, mogli bi da zaobiđu TikTokovo potpisivanje HTTP poruke, promene funkciju za sticanje kontakata i ponovo potpišu zahtev. Budući da se sve ovo radilo na virtuelnom uređaju, proces bi mogao biti automatizovan. To omogućava napadačima da izgrade bazu podataka o korisničkim telefonskim brojevima, nadimcima, slikama profila i avatarima, jedinstvenim korisničkim ID-ovima i podešavanjima, poput toga da li je korisnik pratilac ili je korisnički profil sakriven. Dobro je da se sve završilo kako treba, i da je TikTok sprečio veće curenje informacija.
Izvor: PCPress/Engadget
