Sociální sítě | Mobilní aplikace | TikTok

TikTok zalepil bezpečnostní díru, která umožňovala útočníkům získat telefonní čísla uživatelů

Experti ze společnosti Check Point Research objevili bezpečnostní díru v aplikaci TikTok, kdy funkce pro vyhledávání přátel umožňovala případným útočníkům zjištění telefonních čísel uživatelů. Provozovatel sociální sítě již vydal záplatu, kterou uvedený problém odstranil.

Počátkem letošního roku spustil TikTok program odměn za nalezení chyb a zjištění zranitelností. Zdá se, že se toto úsilí vyplatilo – případné zneužití chyby by mohlo vést k vytvoření databáze kontaktních informací a jejich dalšímu použití například pro phishing.

Díra v TikToku

Odborníci z Check Pointu vyvinuli exploit (speciální program využívající programátorskou chybu) poté, co si všimli chyby ve způsobu, jakým servery TikToku potvrzovaly, že požadavky na vyhledání přátel pocházejí z legitimních mobilních telefonů.

Pomocí jedinečného ID zařízení vázaného na telefon vytvářela aplikace token uživatele a cookie relace. Experti však zjistili, že soubory cookie měly platnost až 60 dní, což jim umožnilo používat místo fyzických mobilů virtuální zařízení.

Přenesení celého procesu do virtuálního prostředí pak umožnilo automatizaci, díky které bylo možné postupně „dolovat“ ze sítě telefonní čísla, přezdívky, profilové fotky, uživatelská ID a informaci, zda se (ne)jedná o skrytý profil.

Riziko už nehrozí

Nebezpečnost takové díry ukazuje starší chyba odhalená ve Facebooku. Kyberzločinci díky ní dokázali získat telefonní čísla zadaná uživateli sociální sítě, která měla být soukromá, a vytvořili databázi až 500 milionů uživatelů. Poté vytvořili robota, využívajícího komunikační platformu Telegram, který nabízel tento seznam každému, kdo byl ochoten zaplatit.

Dle expertů však nyní již není důvod k obavám: „Check Point Research informoval o tomto problému vývojáře a bezpečnostní týmy TikToku. Zodpovědně bylo nasazeno řešení, které zajišťuje, aby jeho uživatelé mohli bezpečně pokračovat v používání aplikace.“

Váš názor Další článek: Europolu a FBI se podařilo zlikvidovat Emotet. Botnet, který útočil na OKD a české nemocnice

Témata článku: , , , , , , , , , , , , , , , , , , ,