TikTok: تم الكشف عن ثغرة أمنية خطيرة تترك بيانات المستخدمين الشخصية مكشوفة!

كشفت Check Point Research (CPR) مؤخرًا عن وجود ثغرة أمنية في العملية "العثور على أصدقاء" من تيك توك تجاوزهم حماية الخصوصية.

Αإذا لم تتم معالجة هذه الثغرة الأمنية ، فستسمح للمهاجم بالوصول إلى تفاصيل ملف تعريف المستخدم وأرقام الهواتف المرتبطة بحسابه ، مما يجعل من الممكن إنشاء قاعدة بيانات معلومات لاستخدامها في نشاط ضار فى المستقبل.

وجد محققو الإنعاش القلبي الرئوي مرتين ثغرات أمنية في تيك توك. تتضمن أحدث ملفات تعريف الثغرات الأمنية: رقم الهاتف واللقب وصور الملف الشخصي والصورة الرمزية ومعرفات المستخدم الفريدة وبعض إعدادات الملف الشخصي ، مثل ما إذا كان المستخدم تابعًا أم ملفه الشخصي مغلق.

كيف يمكن للمتطفلين استغلال هذه الثغرة الأمنية:

1. قم بإنشاء قائمة بمعرفات الأجهزة التي سيتم استخدامها للبحث عن خوادم TikTok.
2. قم بإنشاء قائمة من الرموز المميزة الخاصة بالرموز (كل رمز مميز صالح لمدة 60 يومًا) التي سيتم استخدامها للبحث عن خوادم TikTok.
3. تجاوز آلية توقيع رسائل HTTP الخاصة بـ TikTok باستخدام خدمة توقيع الخلفية الخاصة بهم.
4. قم بتوصيل كل ما سبق من خلال تعديل طلبات HTTP وتجاهلها واستخدام الرموز المميزة ومعرفات الأجهزة المختلفة لتجاوز آليات حماية TikTok.

الخطوات التي اتبعت التحقق من البحث و ByteDance ...

كشفت CPR بشكل مسؤول عن النتائج التي توصلت إليها لشركة ByteDance المصنعة لـ TikTok. كان الإيجابي أن صانعيها تيك توك طوروا حلاً لضمان أن مستخدمي TikTok يمكنهم الاستمرار في استخدام التطبيق بأمان.

في بحثها السابق عن تيك توك، لقد وجد الإنعاش القلبي الرئوي بالفعل مرتين عيوب أمنية فيه.

في 8 يناير 2020 ، نشرت CPR ورقة حول مجموعة من نقاط الضعف التي قد تسمح لعامل التهديد بالوصول إلى المعلومات الشخصية
المخزنة في حسابات المستخدمين ، أو التلاعب بمعلومات حساب المستخدم ، أو اتخاذ إجراء نيابة عن المستخدم دون موافقته.

يا عوديد فانونو ، رئيس قسم أبحاث ثغرات المنتجات في Check ذكرت النقطة:

قال متحدث باسم TikTok:

لا تنسى متابعته Xiaomi-miui.gr في أخبار جوجل ليتم إطلاعك على الفور على جميع مقالاتنا الجديدة!

اتبعنا تیلیجرام !