TikTok, aplikacioni i hakuar vetëm me një SMS
TikTok, aplikacioni i 3-të më i shkarkuari në 2019-ën, është nën një kontroll të mprehtë mbi privatësinë e përdoruesve.
TikTok, aplikacioni i 3-të më i shkarkuari në 2019-ën, është nën një kontroll të mprehtë mbi privatësinë e përdoruesve, duke censuruar përmbajtjen. Siguria e miliarda përdoruesve të TikTok do të ishte tani në dyshim.
Aplikacioni i famshëm kinez për ndarjen e viruseve me video përmbante dobësi potencialisht të rrezikshme. Ata mund të kishin lejuar hakerat të rrëmbejnë çdo llogari të përdoruesit vetëm duke ditur numrin celular të viktimave të synuara.
Në një raport të ndarë privatisht me The Hacker News, studiuesit e sigurisë në internet në Check Point zbuluan se zinxhirët e dobët të shumëfishtë i lejuan ata të ekzekutonin nga distanca kodin. Kështu mund të kryenin veprime të padëshiruara në emër të viktimave pa pëlqimin e tyre.
Dobësitë e raportuara përfshijnë çështje me ashpërsi të ulët. Këtu përfshihet si prerja e lidhjeve SMS, ridrejtimi i hapur dhe skriptimi ndër-faqesh (XSS) .
Sulmi përfshin:
Fshirjen e çdo video nga profili TikTok i viktimave.
Ngarkimi i videove të paautorizuara në profilin e TikTok të viktimave.
Publikimi i videove te fshehura dhe private.
Zbulomi i informacioneve personale të ruajtura në llogari, siç janë adresat private dhe posta elektronike.
Sulmi nxit një sistem SMS të pasigurt që TikTok ofron në faqen e tij të internetit. Për t’i lejuar përdoruesit të dërgojnë një mesazh në numrin e tyre të telefonit per shkarkuar aplikacionin.
Sipas studiuesve, një sulmues mund të dërgojë një mesazh SMS në çdo numër telefoni në emër të TikTok. Me një URL të modifikuar për shkarkim në një faqe me qëllim të keq. I dizajnuar për të ekzekutuar kodin në një pajisje të synuar me aplikacionin TikTok tashmë të instaluar.
Kur kombinohet me çështje të ridrejtimit të hapur dhe çështjeve të shkrimit në site, sulmi mund të lejojë që hakerat të ekzekutonin kodin JavaScript në emër të viktimave, sapo të klikojnë lidhjen e dërguar nga serveri TikTok përmes SMS.
Teknika është e njohur zakonisht si sulm falsifikimi i kërkesës ndër-site. Ku sulmuesit mashtrojnë përdoruesit e vërtetuar në ekzekutimin e një veprimi të padëshiruar.
Nëse nuk jeni duke ekzekutuar versionin e fundit të TikTok të disponueshëm në dyqanet zyrtare të aplikacioneve për Android dhe iOS, ju këshillohet që ta azhurnoni sa më shpejt që të jetë e mundur.
