У TikTok знайшли критичні уразливості

Поделиться:

 

У популярному китайському додатку TikTok виявили декілька вразливостей, які дозволяють зловмисникам захоплювати і управляти цільовим профілем користувача соцмережі.

У дослідженні Check Point розкриті уразливості в системі TikTok. На офіційному сайті соцмережі є функція, яка дозволяє користувачам відправляти собі SMS, щоб завантажити програму. Зловмисники можуть використовувати цю опцію для відправки підробленого SMS жертві.

Перехопивши HTTP-запит, вони отримують в своє розпорядження номер телефону (параметр Mobile) і можливість підмінити посилання, яка з'явиться в SMS (параметр download_url). В результаті користувач, який довіряє джерелу, закачає підроблене додаток з усіма витікаючими наслідками.

Крім того, дослідники знайшли уразливість на стороні Android-додатки TikTok, яке має функцію "глибоких посилань" для виклику "Intents-намірів" Intent - асинхронне повідомлення, що дозволяє компонентам додатки відправляти запит на функціонал інших компонентів Android. Зокрема, в TikTok такий метод використовується для реалізації схем "https://m.tiktok.com" і "musically: //".

Зловмисники, використовуючи уразливість SMS Link Spoofing, можуть відправити користувачеві посилання, що містить одну із зазначених схем. У підсумку мобільний додаток відкриє вікно браузера і перейде на підроблену веб-сторінку. Перейшовши по підміненої посиланням, користувач буде перенаправлений на сторонній сайт. Процес перенаправлення має вразливість, оскільки при перевірці параметр redirect_url не контролюється належним чином. Зокрема, цільової сайт повинен закінчуватися на "tiktok.com", тобто, зловмисник може перенаправити користувача на що-небудь з "tiktok.com", наприклад, "attacker-tiktok.com".

Перенаправлення відкриває можливість виконання міжсайтових сценаріїв (XSS), підробки міжсайтових запитів (CSRF-атака) і розкриття конфіденційних даних без згоди користувача. В результаті зловмисники можуть виконувати такі дії: а

захоплення облікових записів TikTok і управління їх змістом;
видалення відео;
завантаження неавторизованих відео;
установка статусу "загальнодоступні" для "прихованих" відео;
отримання особистої інформації з облікового запису, наприклад, адреси електронної пошти.
В Check Point Research повідомили, що проінформували розробників TikTok про уразливість, які вже усунені. У 2019 у соцмережі налічувалося понад мільярд користувачів (75 мов, 150 ринків), в основному, діти і підлітки. Додаток використовують для створення музичних кліпів і обміну короткими відео-роликами. Разом з тим, у одного з найбільш завантажуваних сервісів в світі є й інші проблеми, пов'язані з його китайської "пропискою". ВМС США заборонили своїм співробітникам використовувати TikTok, а американська армія "забанили" додаток на службових телефонах, хоча ще зовсім недавно використовувала його в якості інструменту для набору персоналу

 

2018 OneNews.Всі права захищені. Дизайн та розробка сайту SeoMarik |