Checkpoint виявила прогалину в функції “Знайти друзів” у TikTok. Якщо її не усунути, ця уразливість дозволить зловмисникам отримувати доступ до особистих даних в профілях користувачів, в тому числі номер телефону, який прив’язаний до екаунту, ніку, унікальному ID користувача, фотографії профілю, а також до деяких налаштувань, включаючи можливості приховати профіль і керувати підписками.

За даними TikTok, щомісяця новими користувачами програми стають 100 мільйонів осіб у всьому світі, а кількість завантажень вже перевищила 2 мільярди – це втричі більше, ніж в 2018 році. Аналітики компанії App Annie, яка займається мобільними даними, прогнозують, що в 2021 році число активних користувачів TikTok досягне 1 мільярда користувачів на місяць, і додаток зрівняється за популярністю з Facebook, Instagram, Messenger, WhatsApp, YouTube і WeChat.

Щоб користувачі TikTok могли не побоюватися за свою особисту інформацію, команда експертів Check Point Research провела дослідження і повідомила про знайдену уразливість ByteDance – компанії-розробнику TikTok. Було терміново розгорнуто рішення для її усунення, щоб користувачі TikTok могли і далі безпечно використовувати додаток.

Як зловмисники могли використовувати уразливість:

  • Спочатку треба було б створити список пристроїв (ідентифікаторів пристроїв) для запитів до серверів TikTok.
  • Далі створити список токенів сеансу (кожен дійсний протягом 60 днів), які будуть використовуватися для запитів до серверів TikTok.
  • Обійти механізм підпису HTTP-повідомлень TikTok за допомогою заміни сервісу електронного підпису, що виконується в фоновому режимі.
  • Об’єднати все це в ланцюжок, змінюючи HTTP-запити, і замінити їх електронний підпис.
  • Використовувати різні маркери сеансу і ідентифікатори пристроїв, щоб обійти механізми захисту TikTok.

Дослідники Check Point Research двічі знаходили уразливості в TikTok. У перший раз, 8 січня 2020 року, в блозі Check Point Research був опублікований документ, в якому повідомлялося про набір уразливостей, використовуючи які зловмисники могли отримати доступ до особистої інформації, збереженої в облікових записах, або вживати дії від імені користувача без його згоди.

“Цього разу нашим основним завданням стало дослідження захисту персональної інформації в TikTok. Ми вирішили перевірити, чи можна використовувати платформу для отримання особистих даних користувачів. Виявилося, що можна. Нам вдалося обійти кілька механізмів захисту TikTok, тим самим порушивши конфіденційність додатку. Використовуючи цю вразливість, кіберзлочинці могли б створити базу даних користувачів і їх номерів телефонів. Володарі цієї інформації отримали б можливість здійснювати цільові фішингові атаки та інші злочинні дії. Ми закликаємо користувачів TikTok вказувати якнайменше даних про себе і регулярно оновлювати операційну систему і додатки до останньої версії”, – прокоментував керівник Check Point Software Technologies із досліджень уразливостей продуктів Одед Вануну.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як виправити повільний Wi-Fi? ПОРАДИ

Як дізнатися, які дані Google знає про Вас і видалити їх? – ІНСТРУКЦІЯ

Як не стати жертвою кібератаки? ПОРАДИ

Чи варто користуватися WhatsApp? П’ять правил безпеки від найбільш розшукуваного хакера світу

П’ять небезпечних типів файлів, що можуть містити шкідливе ПЗ

Що таке Google Assistant та що він може робити?

Нагадаємо, Apple займається розробкою, яка буде розрізняти користувачів смартфонів за новою технологією. Йдеться про так звану теплову карту особи, яка, як і відбитки пальців, є унікальною. Обдурити цю систему захисту буде практично неможливо.

Також корпорація Microsoft випускає вбудований генератор паролів та функцію моніторингу витоків облікових даних у системах Windows та macOS, що працюють з останньою версією Microsoft Edge.

Окрім цього, багатофункціональний “шкідник” VPNFilter, якому вдалося інфікувати 500 тисяч роутерів у 54 країнах, хоч і був дезактивований два роки тому, однак досі не вичищений із сотень мереж. Такі невтішні результати чергової перевірки, яку провели дослідники з Trend Micro.

До речі, викрадена база даних, яка містить імена, адреси електронної пошти та паролі користувачів Nitro PDF, безкоштовно розповсюджується в Мережі. Загалом база даних налічує понад 77 мільйонів записів.