Check Point Software scopre una grave vulnerabilitā in TikTok
26 Gennaio 2021 | Roberto Bracco
CRONACHE CERCA Check Point Software ha identificato una nuova vulnerabilitā nell'app TikTok, dopo che ne aveva giā scoperta un'altra a cavallo tra 2019 e 2020. La nuova falla, trovata nella funzione 'Trova Amici' di TikTok, consentirebbe di bypassare le protezioni sulla privacy create per difendere gli utenti dell'applicazione.
Se lasciata senza patch, la vulnerabilitā permetterebbe a un hacker di accedere ai dettagli del profilo di un utente e anche al numero di telefono associato al suo account, dando la possibilitā di costruire un database da utilizzare per attivitā illecite.
CPR ha comunicato le sue scoperte a ByteDance, il produttore di TikTok. Successivamente, č stato diffuso un aggiornamento per garantire la sicurezza degli utenti di TikTok.
I dettagli del profilo accessibili tramite questa falla includono: il numero di telefono, il nickname, le immagini del profilo e dell'avatar, gli ID utente unici e alcune impostazioni del profilo, come ad esempio quella che consente a un utente di essere un follower pubblico o anonimo.
Come l'hacker poteva sfruttare la vulnerabilitā:
FACEBOOKSEGUICI SU
TELEGRAM
Se lasciata senza patch, la vulnerabilitā permetterebbe a un hacker di accedere ai dettagli del profilo di un utente e anche al numero di telefono associato al suo account, dando la possibilitā di costruire un database da utilizzare per attivitā illecite.
CPR ha comunicato le sue scoperte a ByteDance, il produttore di TikTok. Successivamente, č stato diffuso un aggiornamento per garantire la sicurezza degli utenti di TikTok.
I dettagli del profilo accessibili tramite questa falla includono: il numero di telefono, il nickname, le immagini del profilo e dell'avatar, gli ID utente unici e alcune impostazioni del profilo, come ad esempio quella che consente a un utente di essere un follower pubblico o anonimo.
Come l'hacker poteva sfruttare la vulnerabilitā:
- L'aggessore ha creato un elenco di dispositivi con i loro ID, utilizzati poi per la query dei server di TikTok.
- Dopodichč ha creato una lista di token di sessione (ognuno valido per 60 giorni) che saranno utilizzati per interrogare i server di TikTok.
- Ha bypassato il meccanismo HTTP della firma digitale di TikTok utilizzando il proprio servizio di firma, eseguito in background.
- Infine, ha legato il tutto modificando le richieste HTTP, firmandole di nuovo e utilizzando vari token e ID per bypassare i sistemi di difesa di TikTok.
'Questa vulnerabilitā avrebbe potuto permettere ad un aggressore di costruire un database dettagliato degli utenti che, con quel grado di informazioni sensibili, avrebbe permesso all'aggressore di eseguire una serie di attivitā criminali come lo spear phishing. Il nostro consiglio agli utenti di TikTok, e non solo, č quello di condividere i propri dati personali solo quando strettamente necessario e soprattutto di aggiornare sempre il sistema operativo e le applicazioni alle ultime versioni', ha dichiarato Oded Vanunu, responsabile products vulnerabilities research di Check Point
FACEBOOKSEGUICI SU
TELEGRAM
ULTIME NOTIZIE
Samsung Galaxy F02s - il nuovo entry level svelato in anteprima
Samsung Galaxy A52 e Galaxy A72 mostrati sul sito ufficiale, il lancio è imminente
Xiaomi Mi 10S - in anteprima le immagini della variante con Snapdragon 870
Samsung Galaxy XCover 5 - specifiche tecniche e prezzo del nuovo smartphone rugged
Xiaomi Mi 11 - lo smartphone protagonista nel video 'Dieci' di Annalisa
Oppo svela gli ambiziosi piani per il mercato europeo
Realme GT Neo - in arrivo un nuovo smartphone con Dimensity 1200
Realme C21 - annunciato il nuovo entry level, confermati tutti i dettagli su prezzo e specifiche
Annunciati Nubia Red Magic 6 e Red Magic 6 Pro, con Snapdragon 888 e fino a 18GB di RAM
Xiaomi annuncia i nuovi Redmi Note 10, Note 10 Pro, Note 10 5G e Note 10S
Umidigi Bison GT - nuovo smartphone rugged, con chip Helio G95 e batteria da 5.150mAh
Realme GT - il nuovo top di gamma con Snapdragon 888 ad un prezzo imbattibile