Check Point Research(CPR)가 최근 운영 취약점을 공개했습니다. "친구 찾기" 으로 틱톡 서비스 그들을 우회 개인 정보 보호.
Α이 취약점이 해결되지 않으면 공격자가 자신의 계정과 관련된 사용자 프로필 세부 정보 및 전화 번호에 액세스할 수 있게 되어 다음에서 사용할 정보 데이터베이스를 생성할 수 있습니다. 악의적인 활동 미래에.
심폐소생술 조사관은 두 차례에 걸쳐 보안 결함을 발견했습니다. 틱톡 서비스. 취약점을 통해 가장 최근에 액세스할 수 있는 프로필에는 전화번호, 닉네임, 프로필 사진 및 아바타, 고유한 사용자 ID, 사용자가 팔로어인지 또는 프로필이 잠겨 있는지 여부와 같은 일부 프로필 설정이 포함됩니다.
침입자가 이 취약점을 악용하는 방법:
- TikTok 서버를 검색하는 데 사용할 장치 ID 목록을 만듭니다.
- TikTok 서버를 검색하는 데 사용할 토큰별 토큰(각 토큰은 60일 동안 유효) 목록을 만듭니다.
- 자체 백그라운드 서명 서비스를 사용하여 TikTok의 HTTP 메시지 서명 메커니즘을 우회합니다.
- HTTP 요청을 수정하고 무시하고 다양한 토큰과 장치 ID를 사용하여 TikTok 보호 메커니즘을 우회하여 위의 모든 것을 연결하십시오.
Check Check Research 및 ByteDance 이후 단계…
CPR은 그 결과를 TikTok 제조업체인 ByteDance에 책임감 있게 공개했습니다. 긍정적인 점은 제작자가 틱톡 서비스 TikTok 사용자가 계속해서 애플리케이션을 안전하게 사용할 수 있도록 솔루션을 개발했습니다.
그녀의 이전 연구에서 틱톡 서비스, CPR은 이미 두 번 보안 결함을 발견했습니다.
8년 2020월 XNUMX일 CPR은 위협 에이전트가 개인 정보에 액세스할 수 있는 일련의 취약점에 대한 논문을 발표했습니다.
사용자 계정에 저장되거나, 사용자 계정 정보를 조작하거나, 사용자의 동의 없이 사용자를 대신하여 조치를 취하는 행위.
오 오데드 Vanunu, Check 제품 취약성 연구 책임자 요점은 다음과 같이 말했습니다.
이 수준의 민감한 정보를 가진 침입자는 사이버 낚시 또는 기타 범죄 활동과 같은 다양한 악의적인 활동을 저지를 수 있습니다. TikTok 사용자에게 보내는 메시지는 개인 데이터를 거의 공유하지 않는다는 것입니다. 또한 운영 체제와 응용 프로그램을 최신 버전으로 업데이트합니다.
TikTok 대변인은 다음과 같이 말했습니다.
잊지말고 따라해보세요 Xiaomi-miui.gr 에 구글 뉴스 모든 새로운 기사에 대해 즉시 알려드립니다!
