В приложении TikTok исправлены серьезные уязвимости

В приложении TikTok исправлены серьезные уязвимости

Уязвимости позволяли не только похищать данные пользователей, но и манипулировать их статусами в профиле и видео.

Специалисты компании Check Point опубликовали отчет о серьезных уязвимостях в популярном приложении TikTok. С их помощью злоумышленники могли не только похищать данные пользователей, но и манипулировать их статусами в профиле и видео.

В частности, уязвимости позволяли получать доступ к чужим учетным записям и манипулировать их контентом, удалять и загружать видео, делать скрытые видеоролики видимыми для всех и раскрывать сохраненную в аккаунте персональную информацию (например, электронный адрес).

В ходе исследования безопасности приложения эксперты обнаружили, что сайт TikTok позволяет от своего имени отправлять SMS-сообщения на любые номера телефонов. Злоумышленник может осуществить спуфинг сообщения, изменив параметр download_url в перехваченном HTTP-запросе, вставить любую, в том числе вредоносную, ссылку и отправить ее пользователю от имени команды TikTok.

Злоумышленник может осуществить реинжиниринг поддельной ссылки и отправить TikTok запросы вместе с cookie-файлами жертвы. Здесь могут быть проэксплуатированы другие обнаруженные исследователями уязвимости. Даже без межсайтовой подделки запросов злоумышленник может выполнить JavaScript-код и совершать действия от лица пользователя. С помощью комбинации POST- и GET-запросов атакующий может менять настройки приватности скрытых видео, создавать новые ролики и публиковать их в учетной записи жертвы.

Выполнение JavaScript-кода также позволяет получать персональную информацию жертвы через существующие вызовы API, однако для этого атакующему сначала придется обойти механизмы безопасности SOP (правило ограничения домена) и CORS (совместное использование ресурсов между разными источниками).

Разработчик приложения исправил уязвимости до публикации отчета исследователей.


Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!