Check Point Research (CPR) a récemment révélé une vulnérabilité en fonctionnement "Trouver des amis" de TikTok en les contournant protection de la vie privée.
ΑSi cette vulnérabilité n'était pas corrigée, elle permettrait à un attaquant d'accéder aux détails du profil utilisateur et aux numéros de téléphone associés à son compte, ce qui permettrait de créer une base de données d'informations à utiliser dans activité malveillante A l'avenir.
Les enquêteurs du CPR ont découvert à deux reprises des failles de sécurité dans TikTok. Les derniers profils de vulnérabilité incluent : le numéro de téléphone, le surnom, les images de profil et l'avatar, les identifiants d'utilisateur uniques et certains paramètres de profil, par exemple si l'utilisateur est un abonné ou si son profil est verrouillé.
Comment les intrus peuvent exploiter cette vulnérabilité :
- Créez une liste d'identifiants d'appareils qui seront utilisés pour rechercher des serveurs TikTok.
- Créez une liste de jetons spécifiques aux jetons (chaque jeton est valable 60 jours) qui seront utilisés pour rechercher des serveurs TikTok.
- Contournez le mécanisme de signature de messages HTTP TikTok en utilisant leur propre service de signature en arrière-plan.
- Connectez tout ce qui précède en modifiant les requêtes HTTP, en les ignorant et en utilisant divers jetons et identifiants d'appareils pour contourner les mécanismes de protection TikTok.
Les étapes qui ont suivi Check Check Research et ByteDance…
Le CPR a divulgué ses conclusions de manière responsable au fabricant de TikTok ByteDance. Le point positif était que ses créateurs TikTok ont développé une solution pour garantir que les utilisateurs de TikTok peuvent continuer à utiliser l'application en toute sécurité.
Dans ses précédentes recherches sur TikTok, CPR y avait déjà découvert à deux reprises des failles de sécurité.
Le 8 janvier 2020, le CPR a publié un article sur un ensemble de vulnérabilités qui pourraient permettre à un agent de menace d'accéder à des informations personnelles.
stockées dans les comptes d'utilisateurs, manipuler les informations des comptes d'utilisateurs ou prendre des mesures au nom d'un utilisateur sans son consentement.
Ô Oded Vanunu, responsable de la recherche sur la vulnérabilité des produits chez Check Point indiqué :
Un intrus avec ce niveau d'informations sensibles pourrait commettre un certain nombre d'activités malveillantes, telles que la cyberpêche ou d'autres activités criminelles. Notre message aux utilisateurs de TikTok est de partager peu de leurs données personnelles. En plus de mettre à jour leur système d'exploitation et leurs applications vers les dernières versions.
Un porte-parole de TikTok a déclaré :
N'oubliez pas de le suivre Xiaomi-miui.gr à Google Actualités pour être informé immédiatement de tous nos nouveaux articles !