Показаха хакването на TikTok само с един SMS

0
902

Експертите на Check Point разкриха редица проблеми в едно от от най-популярните в целия свят приложения – TikTok. Достатъчно е да се знае номера на телефона на жертвата, за да може хакерът свободно да манипулира чуждите акаунти и да получи достъп до личните данни. Използва се обединяването на няколко уязвимости, за да може да се изпълни вредоносен код и да извършват всякакви действия от името на жертвата.

Всяка една от използваните уязвимости е класирана като уязвимост с ниско ниво на опасност – спуфинг на препратките в SMS съобщенията, пренасочване и XSS. Но съчетаването на тези бъгове дават възможност на атакуващия да извършва следните действия:

  • Изтриване на произволно видео от профила на жертвата
  • Зареждане на всякакви видеа ( и без авторски права) в профила на жертвата
  • Скритите лични видеа могат да стана публични
  • Да получи достъп до всичката лична информация от акаунта, включително адреси и имейли

За извършване на атаката се използва услугата на TikTok за изпращане на SMS съобщение към своя телефон, в което е даден линка за изтегляне на приложението. След това линкът ръчно се променя да сочи към вредоносна страница, като получателят на този SMS също може да бъде подменен и да бъде поставен произволен телефонен номер. Когато жертвата попадне на вредоносната страница се изпълнява код в средата на TikTok. Ето как изглежда видеото, което подробно обяснява процеса:

Check Point е уведомила компанията ByteDance, която е разработчик на TikTok, за тази възможност още през ноември миналата година. След малко повече от месец излязоха необходимите пачове.

ДОБАВИ КОМЕНТАР

avatar
  Абонирай се  
Извести ме за