https://news.day.az/hitech/1193853.html Серьезная уязвимость в TikTok - Предупреждение пользователей

Серьезная уязвимость в TikTok - Предупреждение пользователей

Технологии, 14 января 2020 12:37 5 719

В популярном китайском приложении TikTok обнаружили несколько уязвимостей, которые позволяют злоумышленникам захватывать и управлять целевым аккаунтом пользователя соцсети, передает Day.Az со ссылкой на nag.ru.

В исследовании Check Point раскрыты уязвимости в системе TikTok. На официальном сайте соцсети есть функция, которая позволяет пользователям отправлять себе SMS для загрузки приложения. Злоумышленники могут использовать эту опцию для отправки поддельного SMS жертве. Перехватив HTTP-запрос, они получают в свое распоряжение номер телефона (параметр Mobile) и возможность подменить ссылку, которая появится в SMS (параметр download_url). В итоге пользователь, доверяющий источнику, закачает поддельное приложение со всеми вытекающими последствиями.

Кроме того, исследователи нашли уязвимость на стороне Android-приложения TikTok, которое имеет функцию "глубоких ссылок" для вызова "Intents-намерений" Intent - асинхронное сообщение, позволяющее компонентам приложения отправлять запрос на функционал других компонентов Android. В частности, в TikTok такой метод используется для реализации схем "https://m.tiktok.com" и "musically://".

Злоумышленники, используя уязвимость SMS Link Spoofing, могут отправить пользователю ссылку, содержащую одну из указанных схем. В итоге мобильное приложение откроет окно браузера и перейдёт на поддельную веб-страницу. Перейдя по подмененной ссылке, пользователь будет перенаправлен на сторонний сайт. Процесс перенаправления имеет уязвимость, поскольку при проверке параметр redirect_url не контролируется должным образом.

В частности, целевой сайт должен заканчиваться на "tiktok.com", то есть, злоумышленник может перенаправить пользователя на что-либо с "tiktok.com", например, "attacker-tiktok.com".

Перенаправление открывает возможность выполнения межсайтовых сценариев (XSS), подделки межсайтовых запросов (CSRF-атака) и раскрытия конфиденциальных данных без согласия пользователя. В итоге злоумышленники могут выполнять следующие действия:

- захват учетных записей TikTok и управление их содержанием;
- удаление видео;
- загрузка неавторизованных видео;
- установка статуса "общедоступные" для "скрытых" видео;
- получение личной информации из учётной записи, например, адреса электронной почты.

В Check Point Research сообщили, что проинформировали разработчиков TikTok об уязвимостях, которые уже устранены. В 2019 году у соцсети насчитывалось более миллиарда пользователей (75 языков, 150 рынков), в основном, дети и подростки. Приложение используют для создания музыкальных клипов и обмена короткими видеороликами. Вместе с тем, у одного из наиболее загружаемых сервисов в мире есть и другие проблемы, связанные с его китайской "пропиской". ВМС США запретили своим сотрудникам использовать TikTok, а американская армия "забанила" приложение на служебных телефонах, хотя еще совсем недавно использовала его в качестве инструмента для набора персонала.

Присоединяйтесь к нам в мессенджерах:

Заметили ошибку в тексте? Выберите текст и сообщите нам, нажав Ctrl + Enter на клавиатуре

Лента новостей
Ещё новости