Check Point 安全研究人员发现 TikTok 存在重大缺陷,导致黑客可以获取许多用户的数据和电话号码。这是用于将联系人与应用程序成员的个人资料同步的协议级别。此后该公司已报告并修复了该问题。
虽然她是2020 年下载次数最多的应用,TikTok并非没有所有缺陷。事实上,网络安全研究机构 Check Point 已经揭露了社交网络中的一个重大缺陷,任何黑客都可以利用它数百万用户的个人数据。因此,个人资料详细信息以及与帐户相关的电话号码都可以访问无限期。
缺陷在于功能“寻找朋友“,它可以同步您的联系人,以便找到您熟人的个人资料。后者是基于两个 HTTP 请求:首先将联系人姓名及对应号码发送至TikTok;第二个功能是查找与号码相关的用户的个人资料,并显示他们的昵称、照片和其他信息。
通常,配置文件同步仅限于每天 500 个联系人、用户和设备。尽管如此,Check Point 通过恢复识别所需的元素(即服务器的 cookie 和通过 SMS 连接并复制所有内容时使用的令牌)设法规避了这一限制。一个Android模拟器。
另请阅读——TikTok加强了针对年轻人的隐私设置,并对他们强加了私人档案
黑客可以使用此方法修改 HTTP 请求以获取任意数量的电话号码自动化流程。这样,他就可以建立一个通过该协议链接在一起的帐户数据库。也可以访问同步配置文件的所有详细信息进而,搜索从第三方平台窃取的其他个人数据。 Check Point 向 TikTok 通报了该漏洞的存在,此后该漏洞已被已纠正。
来源 :检查站
