ПРОДОВЖЕННЯ ПІСЛЯ РЕКЛАМИ
Фахівцям Сheckpoint вдалося з’ясувати, що одне з найбільш популярних додатків в світі Tik Tok має безліч вразливостей.
Уточнюється, що знаючи номер телефону, злочинці могли маніпулювати обліковими записами, отримуючи доступ до особистих даних.
Фактично кілька вразливостей в комплексі дозволяли виконувати віддалений шкідливий код і здійснювати дії від імені жертви.
ПРОДОВЖЕННЯ ПІСЛЯ РЕКЛАМИ
При цьому всі уразливості окремо не мали високого рівня небезпеки, але в поєднанні дозволяли хакеру видалити з профілю жертви відео, завантажити в профіль неавторизовані відео, робити приватні відео публічними, розкривати особисту інформацію, включаючи адреси.
Для атак використовувалася небезпечна система відправки SMS, пропонована Tik Tok на своєму сайті. Користувач міг відправити на свій номер повідомлення і отримати посилання для того, щоб завантажити додаток.
Відзначається, що повідомлення від імені додатка міг відправити зловмисник, поміщаючи в повідомлення URL, який вів на шкідливу сторінку для виконання коду.
Атака дозволяла виконувати код від імені жертви, якщо користувачі натискали на посилання в SMS.
Уточнюється, що розробники Tik Tok були повідомлені про проблему ще в кінці листопада 2019 року і вже через місяць випустили патчі з виправленнями.
Повідомити про помилку
Текст, який буде надіслано нашим редакторам: