هفته گذشته محققان امنیتی آسیبپذیری جدیدی در اپلیکیشن تیک تاک شناسایی کرده بودند که پچ آن منتشر شد. با این آسیبپذیری هکر میتواند یک بانک اطلاعاتی از پروفایل کاربران و شماره تلفن متصل به آن را ایجاد کند.
با وجود اینکه این آسیبپذیری فقط کاربرانی که شماره تلفن خود را به حسابشان متصل کردهاند را تحت تاثیر قرار میداد اما بهرهجویی موفق از آن میتواند منجر به لو رفتن اطلاعات کاربر و تجاوز به حریم خصوصی او شود.
حفره امنیتی شناسایی شده مربوط به قابلیت یافتن دوستان (Find Friends) میباشد. با این قابلیت کاربران لیست مخاطبان خود را همگامسازی کرده و که در اپلیکیشن ثبت نام کردهاند، را شناسایی میکنند.
مخاطبین کاربر از طریق یک درخواست HTTP، شامل لیستی از نام و شماره مخاطبان به صورت هش شده، به سرور تیک تاک آپلود میشود.
در مرحله دوم، درخواستی از سوی اپلیکیشن به سرور ارسال می شود که اطلاعات پروفایل و متصل به شماره تلفن مخاطبان را بازیابی میکند. پاسخ ارسالی از سوی سرور شامل شماره تماس، نام پروفایل، تصاویر و برخی اطلاعات مربوط به پروفایل میباشد.
برای جلوگیری از سوءاستفادههای احتمالی قابلیت یافتن دوستان، تیک تاک امکان ارسال لیست مخاطبان را به ۵۰۰ عدد در روز برای هر دستگاه محدود کرده است. اما با دستکاری درخواست HTTP ارسالی میتوان این مقدار را افزایش داد. بنابراین هکر میتواند روزانه به تعداد نامحدودی شماره تماس به سرور ارسال کرده و نام کاربری و دیگر اطلاعات مربوط به پروفایل او را دریافت کند. در نتیجه میتواند یک بانک اطلاعاتی بزرگ از نام کاربران و شماره تلفنهای متصل به آن را ایجاد کرد.
هنوز نظری ثبت نشده است. شما اولین نظر را بنویسید.