Уязвимости, которые, по словам создателей приложения, были исправлены впоследствии, позволяли злоумышленникам манипулировать контентом и извлекать личные данные пользователей. Видео-приложение TikTok заявляет, что устранило все уязвимости, обнаруженные исследователями кибербезопасности Check Point.
Такие уязвимости позволяли отправлять пользователям TikTok сообщения с вредоносными ссылками. После того как пользователи переходили по ссылкам, злоумышленники получали контроль над их учетными записями, в том числе загруженным видео или доступом к частным роликам.
«Все обнаруженные уязвимости относятся к основным для системы TikTok», - сказал Одед Вануну, руководитель отдела исследования уязвимостей Check Point. TikTok узнал о выводах проведенного исследования Check Point в ноябре 2019 и заявил, что к декабрю устранит все уязвимости.
Популярность TikTok увеличилась за последние два года, став необычной историей успеха Интернета из Китая на Западе. Оно загружалось более 1,5 миллиарда раз, в
Но новые приложения, такие как TikTok, предполагают улучшение возможностей для хакеров, ищущих целевые сервисы, которые не проверялись годами исследований безопасности и реальных атак. Многие из пользователей Тик Ток молоды и, возможно, не обращают внимания на обновления безопасности.
«TikTok стремится защищать данные пользователей», - сказал Люк Дешотелс, член группы безопасности TikTok. «Как и многие организации, мы поощряем ответственных исследователей в области безопасности раскрывать нам в частном порядке уязвимости нулевого уровня», - добавил он. Перед публичным раскрытием Check Point создатели согласились с фактами, а все обнаруженные проблемы исправлены в последней версии приложения. «Мы надеемся, что это успешное решение будет способствовать дальнейшему сотрудничеству с исследователями безопасности» - заявили они.
Дешотелс сказал, что в записях клиентов нет никаких указаний на то, что произошло нарушение конфиденциальности или атака на их акки. Материнская компания TikTok, ByteDance, является одним из самых ценных технологических стартапов в мире. Но популярность TikTok и его корни в Китае, где ни одна крупная корпорация не может процветать без благосклонности правительства, побудили к тщательному изучению политики в отношении контента и методов обработки данных.
Одна уязвимость позволила злоумышленникам использовать ссылку в системе обмена сообщениями TikTok для отправки пользователям сообщений, которые исходили не от TikTok. Исследователи Check Point проверили уязвимость, отправив себе ссылки с вредоносными программами, которые позволили им управлять учетными записями, загружать контент, удалять видео и делать частные видео общедоступными.
Исследователи также обнаружили, что сайт TikTok уязвим для атак, которые внедряют вредоносный код на доверенные сайты. Check Point смогли получить личную информацию пользователей, включая имена и даты рождения. Check Point отправила сводку своих выводов в Министерство внутренней безопасности США.
Злоумышленники, желающие отправить жертве SMS-сообщение, могут перехватить HTTP-запрос с помощью прокси-инструмента (например, Burp Suite). Параметр Mobile содержит номер телефона, на который будет отправлено SMS, а параметр download_url - это ссылка, которая появится в сообщении SMS:
Официальное СМС:
Изменение параметра download_url приведет к поддельному SMS-сообщению, которое будет содержать ссылку, выбранную злоумышленниками для ввода.
Мошенники, использующие уязвимость
Используя выполнение JavaScript, как упомянуто выше, злоумышленник отправляет скопированный им запрос на создание видео и отправляет HTTP-запрос POST от имени жертвы.
На следующем снимке экрана демонстрируется запрос на создание видео в ленте жертв:
В ответе сервера указано, что видео было успешно создано:
Раскрытие конфиденциальных данных
По мере продолжения исследования выявлено, что можно выполнять код JavaScript с помощью
При попытке использовать уязвимости выполнения JavaScript, описанные выше, исследователи столкнулись с проблемой - механизмом Cross Origin Resource Sharing (CORS) и ограничениями безопасности Same Origin Policy (SOP). Похоже, что поддомены API позволяют сделать запрос только определенным источникам (например:
Ответ заблокирован из-за ограничений безопасности:
Поэтому пришлось обойти механизмы безопасности CORS и SOP, чтобы получить всю конфиденциальную информацию, которая там лежала.
Tiktok реализовал нетрадиционный обратный вызов JSONP, который предоставляет метод для запроса данных с серверов API без ограничений CORS и SOP! Обход этих механизмов безопасности позволил украсть всю конфиденциальную информацию жертв, запустив AJAX-запрос к обратному вызову JSONP, в результате чего данные JSON были упакованы функцией JavaScript.
TikTok
Видео в TikTok занимательны. Они создали главное направление, стиль, даже музыкальный жанр. Многие используют приложение TikTok, чтобы делиться приятными моментами и организовывать забавные воспоминания в виде коротких видеоклипов. Но, как стало понятно, существует тонкая грань между забавными клипами и частными, когда личные активы скомпрометированы, а юзеры при этом уверены, что находятся под защитой приложения.
Представленное исследование показывает риски, связанные с одним из самых популярных и широко используемых социальных приложений в мире. Такие риски усиливают насущную потребность в конфиденциальности и безопасности данных в кибер-мире, в котором мы живем. Утечки данных становятся эпидемией. Это смертельная проблема, с которой многие организации сталкиваются в глобальном масштабе просто потому, что данные распространяются повсюду.
Наши данные хранятся в разных соцсетях, и в них находится часто самая ценная конфиденциальная информация. Мы несем общую ответственность за защиту наших данных от компрометации и краж, потому обращаем внимание на попытки хищения информации и информируем общество об этом!
Ссылка скрыта от гостей
- приложение для смартфонов, которое полюбилось подростками и используется миллионами людей во всем мире, имело уязвимости, позволяющие хакерам манипулировать данными участников и похищать личную информацию. Это выяснено после проведения
Ссылка скрыта от гостей
Check Point - компанией по кибербезопасности в Израиле.Такие уязвимости позволяли отправлять пользователям TikTok сообщения с вредоносными ссылками. После того как пользователи переходили по ссылкам, злоумышленники получали контроль над их учетными записями, в том числе загруженным видео или доступом к частным роликам.
«Все обнаруженные уязвимости относятся к основным для системы TikTok», - сказал Одед Вануну, руководитель отдела исследования уязвимостей Check Point. TikTok узнал о выводах проведенного исследования Check Point в ноябре 2019 и заявил, что к декабрю устранит все уязвимости.
Тотальная проверка и популяризация
ТикТок также стал мишенью для законодателей и регулирующих органов, которые с подозрением относятся к китайским технологиям. Несколько подразделений вооруженных сил США запретили персоналу устанавливать приложение на смартфоны.
Популярность TikTok увеличилась за последние два года, став необычной историей успеха Интернета из Китая на Западе. Оно загружалось более 1,5 миллиарда раз, в
Ссылка скрыта от гостей
с данными фирмы Sensor Tower. Ближе к концу 2019 года исследовательская компания заявила, что TikTok за год получит больше загрузок, чем известные приложения из FB, Instagram и Snap.Но новые приложения, такие как TikTok, предполагают улучшение возможностей для хакеров, ищущих целевые сервисы, которые не проверялись годами исследований безопасности и реальных атак. Многие из пользователей Тик Ток молоды и, возможно, не обращают внимания на обновления безопасности.
«TikTok стремится защищать данные пользователей», - сказал Люк Дешотелс, член группы безопасности TikTok. «Как и многие организации, мы поощряем ответственных исследователей в области безопасности раскрывать нам в частном порядке уязвимости нулевого уровня», - добавил он. Перед публичным раскрытием Check Point создатели согласились с фактами, а все обнаруженные проблемы исправлены в последней версии приложения. «Мы надеемся, что это успешное решение будет способствовать дальнейшему сотрудничеству с исследователями безопасности» - заявили они.
Дешотелс сказал, что в записях клиентов нет никаких указаний на то, что произошло нарушение конфиденциальности или атака на их акки. Материнская компания TikTok, ByteDance, является одним из самых ценных технологических стартапов в мире. Но популярность TikTok и его корни в Китае, где ни одна крупная корпорация не может процветать без благосклонности правительства, побудили к тщательному изучению политики в отношении контента и методов обработки данных.
Тестирование приложения
Подразделение разведки Check Point изучило, насколько легко было бы взломать учетные записи пользователей TikTok. Было обнаружено, что различные функции приложения, включая отправку видеофайлов, имеют проблемы с безопасностью. «Я ожидал появления уязвимостей в такой компании, как TikTok, которая, вероятно, больше ориентирована на стремительный рост и создание новых функций для своих пользователей, а не на безопасность», - сказал Кристоф Хебайзен, руководитель исследования Lookout, еще одной компании по ИБ.
Одна уязвимость позволила злоумышленникам использовать ссылку в системе обмена сообщениями TikTok для отправки пользователям сообщений, которые исходили не от TikTok. Исследователи Check Point проверили уязвимость, отправив себе ссылки с вредоносными программами, которые позволили им управлять учетными записями, загружать контент, удалять видео и делать частные видео общедоступными.
Исследователи также обнаружили, что сайт TikTok уязвим для атак, которые внедряют вредоносный код на доверенные сайты. Check Point смогли получить личную информацию пользователей, включая имена и даты рождения. Check Point отправила сводку своих выводов в Министерство внутренней безопасности США.
Злоумышленники, желающие отправить жертве SMS-сообщение, могут перехватить HTTP-запрос с помощью прокси-инструмента (например, Burp Suite). Параметр Mobile содержит номер телефона, на который будет отправлено SMS, а параметр download_url - это ссылка, которая появится в сообщении SMS:
Мошенники, использующие уязвимость
Ссылка скрыта от гостей
могут отправить настраиваемую ссылку, которая содержит схемы, упомянутые выше. Поскольку пользовательская ссылка будет содержать параметр «url», мобильное приложение откроет окно веб-просмотра (браузера) и перейдет на веб-страницу, указанную в параметре мобильного приложения. Любой запрос будет отправлен с куки-файлами пользователей.Создание видео
Чтобы создать видео в ленте жертвы, злоумышленник сначала должен отправить запрос на создание видео в своей ленте. Запросы на создание генерируют новый идентификатор видео. На этом этапе злоумышленник копирует запрос на создание контента и сбрасывает его.
Используя выполнение JavaScript, как упомянуто выше, злоумышленник отправляет скопированный им запрос на создание видео и отправляет HTTP-запрос POST от имени жертвы.
На следующем снимке экрана демонстрируется запрос на создание видео в ленте жертв:
В ответе сервера указано, что видео было успешно создано:
Раскрытие конфиденциальных данных
Ссылка скрыта от гостей
или других методов для получения конфиденциальной информации. Обнаружено несколько вызовов API в поддоменах
Ссылка скрыта от гостей
и
Ссылка скрыта от гостей
. Выполнение запросов к вышеупомянутым API открывает конфиденциальную информацию о пользователе, включая адрес электронной почты, платежную информацию, даты рождения и многое другое.При попытке использовать уязвимости выполнения JavaScript, описанные выше, исследователи столкнулись с проблемой - механизмом Cross Origin Resource Sharing (CORS) и ограничениями безопасности Same Origin Policy (SOP). Похоже, что поддомены API позволяют сделать запрос только определенным источникам (например:
Ссылка скрыта от гостей
). Например, на следующем снимке экрана показан запрос API, отправленный с
Ссылка скрыта от гостей
:
Ответ заблокирован из-за ограничений безопасности:
Tiktok реализовал нетрадиционный обратный вызов JSONP, который предоставляет метод для запроса данных с серверов API без ограничений CORS и SOP! Обход этих механизмов безопасности позволил украсть всю конфиденциальную информацию жертв, запустив AJAX-запрос к обратному вызову JSONP, в результате чего данные JSON были упакованы функцией JavaScript.
Результаты исследования
TikTok
Ссылка скрыта от гостей
для урегулирования жалоб и заявил, что будет соблюдать
Ссылка скрыта от гостей
. Управление британского комиссара по информации по-прежнему исследует TikTok, чтобы определить, нарушает ли он европейские законы о конфиденциальности, которые предлагают особую защиту несовершеннолетних и их данных.Вывод
Видео в TikTok занимательны. Они создали главное направление, стиль, даже музыкальный жанр. Многие используют приложение TikTok, чтобы делиться приятными моментами и организовывать забавные воспоминания в виде коротких видеоклипов. Но, как стало понятно, существует тонкая грань между забавными клипами и частными, когда личные активы скомпрометированы, а юзеры при этом уверены, что находятся под защитой приложения.
Представленное исследование показывает риски, связанные с одним из самых популярных и широко используемых социальных приложений в мире. Такие риски усиливают насущную потребность в конфиденциальности и безопасности данных в кибер-мире, в котором мы живем. Утечки данных становятся эпидемией. Это смертельная проблема, с которой многие организации сталкиваются в глобальном масштабе просто потому, что данные распространяются повсюду.
Наши данные хранятся в разных соцсетях, и в них находится часто самая ценная конфиденциальная информация. Мы несем общую ответственность за защиту наших данных от компрометации и краж, потому обращаем внимание на попытки хищения информации и информируем общество об этом!
Последнее редактирование модератором:
Надеюсь, жители форума это прекрасно понимают 
