TikTok zalepil bezpečnostní díru, která umožňovala útočníkům získat telefonní čísla uživatelů

Experti ze společnosti Check Point Research objevili bezpečnostní díru v aplikaci TikTok, kdy funkce pro vyhledávání přátel umožňovala případným útočníkům zjištění telefonních čísel uživatelů. Provozovatel sociální sítě již vydal záplatu, kterou uvedený problém odstranil.

Počátkem letošního roku spustil TikTok program odměn za nalezení chyb a zjištění zranitelností. Zdá se, že se toto úsilí vyplatilo – případné zneužití chyby by mohlo vést k vytvoření databáze kontaktních informací a jejich dalšímu použití například pro phishing.

Díra v TikToku

Odborníci z Check Pointu vyvinuli exploit (speciální program využívající programátorskou chybu) poté, co si všimli chyby ve způsobu, jakým servery TikToku potvrzovaly, že požadavky na vyhledání přátel pocházejí z legitimních mobilních telefonů.

Pomocí jedinečného ID zařízení vázaného na telefon vytvářela aplikace token uživatele a cookie relace. Experti však zjistili, že soubory cookie měly platnost až 60 dní, což jim umožnilo používat místo fyzických mobilů virtuální zařízení.

Přenesení celého procesu do virtuálního prostředí pak umožnilo automatizaci, díky které bylo možné postupně „dolovat“ ze sítě telefonní čísla, přezdívky, profilové fotky, uživatelská ID a informaci, zda se (ne)jedná o skrytý profil.

Riziko už nehrozí

Nebezpečnost takové díry ukazuje starší chyba odhalená ve Facebooku. Kyberzločinci díky ní dokázali získat telefonní čísla zadaná uživateli sociální sítě, která měla být soukromá, a vytvořili databázi až 500 milionů uživatelů. Poté vytvořili robota, využívajícího komunikační platformu Telegram, který nabízel tento seznam každému, kdo byl ochoten zaplatit.

Dle expertů však nyní již není důvod k obavám: „Check Point Research informoval o tomto problému vývojáře a bezpečnostní týmy TikToku. Zodpovědně bylo nasazeno řešení, které zajišťuje, aby jeho uživatelé mohli bezpečně pokračovat v používání aplikace.“

Váš názor Další článek: Europolu a FBI se podařilo zlikvidovat Emotet. Botnet, který útočil na OKD a české nemocnice

Témata článku: Facebook, Sociální sítě, Internet, Komunikace, Mobilní aplikace, Telegram, TikTok, Check Point, Bezpečnostní díra, Sociální síť, Aplikace, Databáze, Uživatelé, Check point Research, Chyba, Shorts, Díra, Telefonní číslo


Určitě si přečtěte

Můžete mít dvakrát rychlejší VDSL? Mapa Cetinu ukazuje, kde je dostupný bonding
Lukáš Václavík
CETINPřipojení k internetu
Vážně dnes ještě někdo krade Adobe? Video můžete stříhat zdarma v Resolve a fotky i vektory zvládne Affinity

Vážně dnes ještě někdo krade Adobe? Video můžete stříhat zdarma v Resolve a fotky i vektory zvládne Affinity

** Kde jsou ty doby, kdy měl skoro každý doma Photoshop ** Photoshop a Premiere Pro od kamaráda nebo z warezu ** Dnes už to nemá smysl, existuje totiž hromada laciných alternativ

Jakub Čížek | 92

Jakub Čížek
Grafický editorStřih videa
Google není jen vyhledávač: 15 užitečných funkcí, o kterých možná ani nevíte

Google není jen vyhledávač: 15 užitečných funkcí, o kterých možná ani nevíte

** Google umí kromě vyhledávání i spoustu dalších věcí ** Vybrali jsme více než 15 užitečných funkcí a schopností ** Stačí zadat do vyhledávače ta správná klíčová slova

Karel Kilián | 22

Karel Kilián
TipyVyhledávačeGoogle
Micro:bit V2: Tuto destičku plnou čipů dokáže naprogramovat i vaše babička

Micro:bit V2: Tuto destičku plnou čipů dokáže naprogramovat i vaše babička

** Chcete se teď hned naučit programovat čipy? ** Nechcete nic instalovat a číst zdlouhavé manuály? ** Naprogramujeme si Micro:bit, který zahraje Tichou noc

Jakub Čížek | 35

Jakub Čížek
Pojďme programovat elektronikuProgramování pro děti
Japonská MANA může být 80× výkonnější než sebelepší tranzistorový procesor

Japonská MANA může být 80× výkonnější než sebelepší tranzistorový procesor

** Tranzistory současných počítačů vyzařují při přepínání teplo ** Na Tokijské univerzitě proto vyvíjejí adiabatické procesory ** Využívají supravodivost a jsou 80× úspornější

Jakub Čížek | 48

Jakub Čížek
TranzistoryProcesoryTechnologie
Čestné prohlášení při cestě mimo okres může být i elektronické. Stačí k tomu mobil
Lukáš Václavík
COVID-19eGovernmentDoprava