Súlyos hibát javított a TikTok
A TikTok kapcsán egy veszélyes biztonsági hiba látott napvilágot, amelynek kihasználásával olyan profiladatok is elérhetővé váltak, amiket a felhasználók nem osztottak meg nyilvánosan.
A Check Point már régebb óta rendszeresen vizsgálja a TikTokhoz kapcsolódó infrastruktúra, valamint a webes és mobilos alkalmazások biztonságát. Először 2019 novemberében akadt egy súlyos hibára az egyre népszerűbbé váló közösségi szolgáltatásban. Akkor az a sérülékenység a TikTok SMS-rendszerét érintette, és a kihasználásával feltöltött videók válhattak jogosulatlanul törölhetővé, vagy éppen teljesen nyilvánossá tehetővé.
A napokban orvosolt TikTok hibára is a Check Point kutatói figyeltek fel. Ezúttal egy olyan sebezhetőségről van szó, amely az ismerősök keresését szolgáló (Find Friends) funkció kapcsán merült fel. A biztonsági cég szerint a rendellenesség alapvetően olyan adatokhoz adhat hozzáférést a támadók számára, amelyeket alapesetben csak a profil tulajdonosa láthatna. Így például megkaparintható a telefonszám, a becenév, bizonyos profilbeállítások és a felhasználó egyedi TikTok azonosítója is. Ezekkel az adatokkal pedig különféle visszaélések, csalások követhetők el, és akár célzott adathalász támadásokhoz is vezethetnek.

Forrás: Check Point
A szóban forgó biztonsági rést a TikTok fejlesztői már befoltozták, így az már nem jelent veszélyt. A hibajavítást követően a Check Point egy részletes ismertetőt is kiadott, amiben leírta, hogy a sérülékenység több lépésben (eszközazonosítók, munkamenetekhez tartozó tokenek és HTTP-alapú adatforgalom manipulálásával) válhat kihasználhatóvá.
A TikTok tavaly több irányba is elindult annak érdekében, hogy a népes felhasználói táborának adatait megfelelően tudja védeni. 2020 áprilisában egy privát (meghívottak számára elérhető) hibavadász programot indított, majd tavaly októberben a HackerOne platformon keresztül is vizsgálhatóvá tette a mobilos és webes alkalmazásait.
További hírek
Vélemények
Partnerhírek
Felhőalapú biztonsági csomagokkal bővít az ESET
Az új ESET termékcsomagok testreszabható megoldást kínálnak minden cégméretre.
Módosított pályázati kiírás az „Év információvédelmi dolgozata - 2021” cím elnyerésére
A Hétpecsét Információbiztonsági Egyesület 2021 évre is meghirdeti az „Év információvédelmi dolgozata - 2021” címet.
Közösség
Copyright by Isidor - Minden jog fenntartva!