Güvenlik araştırmacıları, uygulamanın ‘Arkadaş Bul’ özelliğinin bilgisayar korsanlarının kullanıcı ayrıntılarına erişmesine izin verdiğini keşfetti.

Güvenlik araştırmacıları, TikTok’ta, istismar edilmesi halinde kullanıcıların özel verilerini açığa çıkarabilecek ve bir saldırganın da kullanıcıların kişilerindeki verileri çalmasını sağlayabilecek bir kusur keşfettiler.

Araştırmacıların kusuru keşfeden Check Point Research’e göre, eğer yamalanmadan bırakılırsa, güvenlik açığı , bir saldırganın bir kullanıcının telefon numarasına, TikTok takma adına, profil ve avatar resimlerine, benzersiz kullanıcı kimliklerine ve ayrıca belirli profil ayarlarına erişmesini sağlardı. bir kullanıcının takipçi olup olmadığı veya bir kullanıcının profilinin gizli olup olmadığı gibi.

Araştırmacılar, TikTok uygulamasının ‘Arkadaş Bul’ özelliğindeki güvenlik açığını keşfettiler. Bu, kullanıcıların TikTok’ta tanıyabilecekleri kişileri kolayca bulmaları için telefonlarındaki kişilerini senkronize etmelerine olanak tanıyan kişi senkronizasyonunu kullanır. Bu, kullanıcıların profil ayrıntılarını telefon numaralarına bağlamayı mümkün kılar.

Bu telefon numaraları ve profil ayrıntılarıyla, saldırganlar potansiyel olarak diğer hesapları veya mevcut verileri aramak gibi TikTok dışında elde edilen kullanıcılarla ilgili daha fazla bilgiye erişebilir.

Araştırmacılar, kusurdan yararlanma sürecini anlattılar. Bir kullanıcı TikTok uygulamasını her başlattığında, kullanıcıların cihazlar arasında geçiş yapmadığından emin olmak için bir cihaz kaydı işlemi gerçekleştirir.

Mobil cihazdan SMS ile oturum açma işlemi sırasında, TikTok sunucuları bir token ve oturum çerezleri üreterek verileri doğrular. Araştırmacılar, oturum tanımlama bilgilerinin ve belirteç değerlerinin süresinin 60 gün sonra dolduğunu, yani aynı tanımlama bilgilerini haftalarca oturum açmak için kullanabileceklerini buldular.

Son olarak, araştırmacılar, bir tehdit aktörünün TikTok’un HTTP Mesaj imzalamasını atlayarak oturum açma sürecini başarılı bir şekilde manipüle edebileceğini, böylece kişileri geniş ölçekte yükleme ve senkronize etme sürecini otomatikleştirdiğini ve sonunda tehdit aktörü için kullanıcıların ve bağlı telefon numaralarının bir veritabanını oluşturduğunu buldu hedefe.

Check Point Research, bulgularını sorumlu bir şekilde TikTok’un yapımcısı ByteDance’a açıkladı ve şirket, uygulamanın güncellenmiş bir sürümünü kullanıcılara dağıttı.

Check Point’teki ürün güvenlik açıkları araştırma başkanı Oded Vanunu, araştırmanın birincil motivasyonunun TikTok’un mahremiyetini keşfetmek olduğunu söyledi.

“TikTok platformunun özel kullanıcı verilerine erişim için kullanılıp kullanılamayacağını merak ettik. TikTok’un gizlilik ihlallerine neden olan birden fazla koruma mekanizmasını atlatmayı başardık ”dedi.

Güvenlik açığı, bir bilgisayar korsanının kullanıcı ayrıntıları ve ilgili telefon numaralarından oluşan bir veritabanı oluşturmasına olanak tanıdığında, hassas bilgilere erişebilir ve hedefli kimlik avı veya diğer suç eylemleri gibi bir dizi kötü amaçlı etkinlik gerçekleştirebilir.

Vanunu, “TikTok kullanıcılarına mesajımız, kişisel verileriniz söz konusu olduğunda asgari düzeyde paylaşmak ve telefonunuzun işletim sistemini ve uygulamalarını en son sürümlere güncellemektir” dedi.