Sākumlapa » Apdraudējumi » Pētnieki nodemonstrē TikTok kontu satura manipulāciju

Pētnieki nodemonstrē TikTok kontu satura manipulāciju

Ievērojamu popularitāti ieguvusī lietotne TikTok, kurai šobrīd ir vairāk par 1 miljardu lietotāju pasaulē, ir nokļuvusi kiberdrošības ziņu virsrakstos. Kā ziņo The Hacker News, pētnieki no uzņēmuma Check Point atklāja, ka vairāku ievainojamību virkne ļāva attālināti izpildīt ļaunprātīgu kodu un veikt nevēlamas darbības upuru kontos bez viņu piekrišanas.

 

 

Vairākas pētnieku noziņotās zema svarīguma ievainojamības, tādas kā, piemēram, saišu viltošana īsziņās, atvērta pārvirzīšana un starpvietņu skriptēšana (XSS), apvienojumā varēja ļaut attālinātajam uzbrucējam veikt lielas ietekmes uzbrukumus, tostarp:

  • izdzēst visus videoklipus no upura TikTok profila;
  • augšupielādēt neatļautus videoklipus upura TikTok profilā;
  • publiskot privātus “slēptus” videoklipus;
  • piekļūt upura konta personiskajai informācijai.

Kā ziņo The Hacker News, uzbrukumā varēja tikt izmantota nedroša SMS sistēma, kuru TikTok piedāvā savā tīmekļa vietnē, lai lietotāji varētu nosūtīt ziņojumu uz savu tālruņa numuru ar saiti, lai lejupielādētu video koplietošanas lietotni.

 

 

Saskaņā pētnieku informāciju, uzbrucējs TikTok vārdā varēja nosūtīt SMS ziņojumu uz jebkuru tālruņa numuru ar modificētu lejupielādes saiti uz ļaunprātīgu lapu, kas paredzēta koda izpildei ierīcē ar jau instalētu TikTok lietotni. Apvienojumā ar atklātas pārvirzīšanas un starpvietņu skriptēšanas problēmām uzbrukums varēja ļaut hakeriem upuru vārdā izpildīt JavaScript kodu, tiklīdz viņi īsziņā noklikšķina uz TikTok servera nosūtītās saites, kā parādīts Check Point video demonstrācijā. Šo paņēmienu mēdz dēvēt par vietņu pieprasījuma viltošanas uzbrukumu, kurā uzbrucēji pamudina autentificētus lietotājus uz nevēlamu darbību izpildi.

Check Point atbildīgi ziņoja par šīm ievainojamībām TikTok izstrādātājam ByteDance 2019. gada novembra beigās, kas pēc tam mēneša laikā izlaida savas mobilās lietotnes labotu versiju, lai pasargātu savus lietotājus no uzbrucējiem. Ja vēl neizmantojat jaunāko TikTok lietotnes versiju, kas pieejama oficiālajos Android un iOS lietotņu veikalos, ieteicams to atjaunināt pēc iespējas ātrāk.

Birkas:
Iepriekšējais raksts
Nākošais raksts

Komentēt

Jūsu e-pasts netiks publicēts. Obligātie lauki ir iezīmēti *

*

78 − 77 =

Uz augšu