TikTok: ช่องโหว่ด้านความปลอดภัยที่เป็นอันตรายได้รับการเปิดเผยซึ่งทำให้ข้อมูลส่วนบุคคลของผู้ใช้ถูกเปิดเผย!

การวิจัยจุดตรวจ (CPR) ได้เปิดเผยช่องโหว่ในการดำเนินการเมื่อเร็ว ๆ นี้ “หาเพื่อน” ของ ติ๊กต๊อก ข้ามพวกเขา การคุ้มครองความเป็นส่วนตัว.

Αหากช่องโหว่นี้ไม่ได้รับการแก้ไข จะทำให้ผู้โจมตีสามารถเข้าถึงรายละเอียดโปรไฟล์ผู้ใช้และหมายเลขโทรศัพท์ที่เชื่อมโยงกับบัญชีของตนได้ ทำให้สามารถสร้างฐานข้อมูลสำหรับใช้ใน กิจกรรมที่เป็นอันตราย ในอนาคต.

ผู้ตรวจสอบ CPR พบข้อบกพร่องด้านความปลอดภัยสองครั้งใน ติ๊กต๊อก. โปรไฟล์ช่องโหว่ล่าสุด ได้แก่ หมายเลขโทรศัพท์ ชื่อเล่น รูปโปรไฟล์และอวาตาร์ ID ผู้ใช้ที่ไม่ซ้ำ และการตั้งค่าโปรไฟล์บางอย่าง เช่น ผู้ใช้เป็นผู้ติดตามหรือโปรไฟล์ของพวกเขาถูกล็อค

ผู้บุกรุกสามารถใช้ช่องโหว่นี้ได้อย่างไร:

1. สร้างรายการ ID อุปกรณ์ที่จะใช้เพื่อค้นหาเซิร์ฟเวอร์ TikTok
2. สร้างรายการโทเค็นเฉพาะโทเค็น (แต่ละโทเค็นมีอายุ 60 วัน) ที่จะใช้เพื่อค้นหาเซิร์ฟเวอร์ TikTok
3. ข้ามกลไกการลงนามข้อความ HTTP ของ TikTok โดยใช้บริการลงนามในพื้นหลังของตนเอง
4. เชื่อมต่อทั้งหมดข้างต้นโดยแก้ไขคำขอ HTTP ละเว้นและใช้โทเค็นและ ID อุปกรณ์ต่างๆ เพื่อเลี่ยงกลไกการป้องกัน TikTok

ขั้นตอนที่ตามมา ตรวจสอบ ตรวจสอบการวิจัย และ ByteDance…

CPR เปิดเผยผลการวิจัยอย่างมีความรับผิดชอบต่อ ByteDance ผู้ผลิต TikTok ข้อดีคือผู้สร้าง ติ๊กต๊อก ได้พัฒนาโซลูชันเพื่อให้แน่ใจว่าผู้ใช้ TikTok สามารถใช้แอปพลิเคชันได้อย่างปลอดภัย

ในงานวิจัยก่อนหน้านี้ของเธอเกี่ยวกับ ติ๊กต๊อกการทำ CPR พบข้อบกพร่องด้านความปลอดภัยสองครั้งแล้ว

เมื่อวันที่ 8 มกราคม 2020 การทำ CPR ได้ตีพิมพ์บทความเกี่ยวกับกลุ่มช่องโหว่ที่อาจทำให้ตัวแทนภัยคุกคามเข้าถึงข้อมูลส่วนบุคคลได้
เก็บไว้ในบัญชีผู้ใช้ จัดการข้อมูลบัญชีผู้ใช้ หรือดำเนินการในนามของผู้ใช้โดยไม่ได้รับความยินยอมจากผู้ใช้

Oded Vanunu หัวหน้าฝ่ายวิจัยช่องโหว่ของผลิตภัณฑ์ที่ Check จุดที่ระบุว่า:

โฆษกของ TikTok กล่าวว่า:

อย่าลืมกดติดตามนะครับ Xiaomi-miui.gr ที่ Google News เพื่อแจ้งให้ทราบทันทีเกี่ยวกับบทความใหม่ทั้งหมดของเรา!

ติดตามเราได้ที่ Telegram !