การวิจัยจุดตรวจ (CPR) ได้เปิดเผยช่องโหว่ในการดำเนินการเมื่อเร็ว ๆ นี้ “หาเพื่อน” ของ ติ๊กต๊อก ข้ามพวกเขา การคุ้มครองความเป็นส่วนตัว.
Αหากช่องโหว่นี้ไม่ได้รับการแก้ไข จะทำให้ผู้โจมตีสามารถเข้าถึงรายละเอียดโปรไฟล์ผู้ใช้และหมายเลขโทรศัพท์ที่เชื่อมโยงกับบัญชีของตนได้ ทำให้สามารถสร้างฐานข้อมูลสำหรับใช้ใน กิจกรรมที่เป็นอันตราย ในอนาคต.
ผู้ตรวจสอบ CPR พบข้อบกพร่องด้านความปลอดภัยสองครั้งใน ติ๊กต๊อก. โปรไฟล์ช่องโหว่ล่าสุด ได้แก่ หมายเลขโทรศัพท์ ชื่อเล่น รูปโปรไฟล์และอวาตาร์ ID ผู้ใช้ที่ไม่ซ้ำ และการตั้งค่าโปรไฟล์บางอย่าง เช่น ผู้ใช้เป็นผู้ติดตามหรือโปรไฟล์ของพวกเขาถูกล็อค
ผู้บุกรุกสามารถใช้ช่องโหว่นี้ได้อย่างไร:
- สร้างรายการ ID อุปกรณ์ที่จะใช้เพื่อค้นหาเซิร์ฟเวอร์ TikTok
- สร้างรายการโทเค็นเฉพาะโทเค็น (แต่ละโทเค็นมีอายุ 60 วัน) ที่จะใช้เพื่อค้นหาเซิร์ฟเวอร์ TikTok
- ข้ามกลไกการลงนามข้อความ HTTP ของ TikTok โดยใช้บริการลงนามในพื้นหลังของตนเอง
- เชื่อมต่อทั้งหมดข้างต้นโดยแก้ไขคำขอ HTTP ละเว้นและใช้โทเค็นและ ID อุปกรณ์ต่างๆ เพื่อเลี่ยงกลไกการป้องกัน TikTok
ขั้นตอนที่ตามมา ตรวจสอบ ตรวจสอบการวิจัย และ ByteDance…
CPR เปิดเผยผลการวิจัยอย่างมีความรับผิดชอบต่อ ByteDance ผู้ผลิต TikTok ข้อดีคือผู้สร้าง ติ๊กต๊อก ได้พัฒนาโซลูชันเพื่อให้แน่ใจว่าผู้ใช้ TikTok สามารถใช้แอปพลิเคชันได้อย่างปลอดภัย
ในงานวิจัยก่อนหน้านี้ของเธอเกี่ยวกับ ติ๊กต๊อกการทำ CPR พบข้อบกพร่องด้านความปลอดภัยสองครั้งแล้ว
เมื่อวันที่ 8 มกราคม 2020 การทำ CPR ได้ตีพิมพ์บทความเกี่ยวกับกลุ่มช่องโหว่ที่อาจทำให้ตัวแทนภัยคุกคามเข้าถึงข้อมูลส่วนบุคคลได้
เก็บไว้ในบัญชีผู้ใช้ จัดการข้อมูลบัญชีผู้ใช้ หรือดำเนินการในนามของผู้ใช้โดยไม่ได้รับความยินยอมจากผู้ใช้
Oded Vanunu หัวหน้าฝ่ายวิจัยช่องโหว่ของผลิตภัณฑ์ที่ Check จุดที่ระบุว่า:
ผู้บุกรุกที่มีข้อมูลที่ละเอียดอ่อนระดับนี้สามารถกระทำกิจกรรมที่เป็นอันตรายได้หลายอย่าง เช่น การตกปลาทางไซเบอร์หรือกิจกรรมทางอาญาอื่นๆ ข้อความของเราถึงผู้ใช้ TikTok คือการแบ่งปันข้อมูลส่วนตัวเพียงเล็กน้อย ตลอดจนอัปเดตระบบปฏิบัติการและแอพพลิเคชั่นให้เป็นเวอร์ชันล่าสุด
โฆษกของ TikTok กล่าวว่า:
อย่าลืมกดติดตามนะครับ Xiaomi-miui.gr ที่ Google News เพื่อแจ้งให้ทราบทันทีเกี่ยวกับบทความใหม่ทั้งหมดของเรา!