Súlyos hibát javított a TikTok

​A TikTok kapcsán egy veszélyes biztonsági hiba látott napvilágot, amelynek kihasználásával olyan profiladatok is elérhetővé váltak, amiket a felhasználók nem osztottak meg nyilvánosan.
 

A Check Point már régebb óta rendszeresen vizsgálja a TikTokhoz kapcsolódó infrastruktúra, valamint a webes és mobilos alkalmazások biztonságát. Először 2019 novemberében akadt egy súlyos hibára az egyre népszerűbbé váló közösségi szolgáltatásban. Akkor az a sérülékenység a TikTok SMS-rendszerét érintette, és a kihasználásával feltöltött videók válhattak jogosulatlanul törölhetővé, vagy éppen teljesen nyilvánossá tehetővé.
 
A napokban orvosolt TikTok hibára is a Check Point kutatói figyeltek fel. Ezúttal egy olyan sebezhetőségről van szó, amely az ismerősök keresését szolgáló (Find Friends) funkció kapcsán merült fel. A biztonsági cég szerint a rendellenesség alapvetően olyan adatokhoz adhat hozzáférést a támadók számára, amelyeket alapesetben csak a profil tulajdonosa láthatna. Így például megkaparintható a telefonszám, a becenév, bizonyos profilbeállítások és a felhasználó egyedi TikTok azonosítója is. Ezekkel az adatokkal pedig különféle visszaélések, csalások követhetők el, és akár célzott adathalász támadásokhoz is vezethetnek.


Forrás: Check Point
 
A szóban forgó biztonsági rést a TikTok fejlesztői már befoltozták, így az már nem jelent veszélyt. A hibajavítást követően a Check Point egy részletes ismertetőt is kiadott, amiben leírta, hogy a sérülékenység több lépésben (eszközazonosítók, munkamenetekhez tartozó tokenek és HTTP-alapú adatforgalom manipulálásával) válhat kihasználhatóvá.
 
A TikTok tavaly több irányba is elindult annak érdekében, hogy a népes felhasználói táborának adatait megfelelően tudja védeni. 2020 áprilisában egy privát (meghívottak számára elérhető) hibavadász programot indított, majd tavaly októberben a HackerOne platformon keresztül is vizsgálhatóvá tette a mobilos és webes alkalmazásait.
Vélemények
 
  1. 4

    A Google két veszélyes biztonsági rést foltozott be a Chrome webböngészőn.

  2. 4

    Az Adobe Bridge kritikus veszélyességű hibák miatt kapott hibajavítást.

  3. 3

    Az AstroLocker egy meglehetősen komplex működésű zsarolóvírus, amely fájlok titkosításával okoz károkat.

 
Partnerhírek
Miért esünk könnyen áldozatul az SMS csalásoknak?

Az ESET szakemberei bemutatják az új SMS csalást és a szükséges teendőket, ha letöltöttük az adatlopó alkalmazást.

Levelezőszerverek ostrom alatt

A legújabb Exchange sebezhetőségét kihasználó kiberbűnözői csoportok növekvő számáról számol be az ESET

hirdetés
Közösség