Check Point 安全研究人員發現 TikTok 有重大缺陷,導致駭客可以獲得許多用戶的資料和電話號碼。這是用於將聯絡人與應用程式成員的個人資料同步的協議層級。此後該公司已報告並修復了該問題。
雖然她是2020 年下載次數最多的應用,TikTok並非沒有所有缺陷。事實上,網路安全研究機構 Check Point 已經揭露了社交網路中的一個重大缺陷,任何駭客都可以利用它數百萬用戶的個人數據。因此,個人資料詳細資訊以及與帳戶相關的電話號碼都可以訪問無限期。
缺陷在於功能“尋找朋友「,它可以同步您的聯絡人,以便找到您熟人的個人資料。後者是基於兩個 HTTP 請求:首先將聯絡人姓名及對應號碼寄至TikTok;第二個功能是尋找與號碼相關的使用者的個人資料,並顯示他們的暱稱、照片和其他資訊。
通常,設定檔同步僅限於每天 500 個聯絡人、使用者和設備。儘管如此,Check Point 透過恢復識別所需的元素(即伺服器的 cookie 和透過 SMS 連接並複製所有內容時使用的令牌)設法規避了這一限制。一個Android模擬器。
另請閱讀——TikTok加強了針對年輕人的隱私設置,並對他們強加了私人檔案
駭客可以使用此方法修改 HTTP 請求以獲取任意數量的電話號碼自動化流程。這樣,他就可以建立一個透過該協議連結在一起的帳戶資料庫。也可以訪問同步設定檔的所有詳細信息進而,搜尋從第三方平台竊取的其他個人資料。 Check Point 向 TikTok 通報了漏洞的存在,此後漏洞已被已糾正。
來源 :檢查站
