Af Eskil Sørensen, 27/01/21
Sikkerhedsresearchere har opdaget en sårbarhed i det populære sociale medie TikTok, som kunne have gjort det muligt for angribere at høste brugernes telefonnumre og personlige profiloplysninger. Det skriver Infosecurity Magazine.
Det er virksomheden CheckPoint, der har afsløret fejlen, som nu er rettet. Selve fejlen er fundet i appens "Find Friends"-funktion og skyldes ifølge Infosecurity Magazine, at TikTok giver brugerne mulighed for at synkronisere deres telefonkontakter med appen og dermed forbinde brugerprofiler med telefonnumre.
Hvis fejlen blev udnyttet, kunne den have gjort det muligt for angribere at omgå appens HTTP-meddelelsessignering for at logge ind og derefter synkronisere kontakter for at finde profiler for alle TikTok-brugere i offerets telefonbog. Selve SMS-loginprocessen fra en mobilenhed involverede TikTok-servere, der genererede token- og sessionscookies. Disse var imidlertid sat til at have en varighed på 60 dage, hvorfor en angriber i den periode kunne udnytte tiden til at bruge de samme cookies til at logge ind med.
Blandt de profiloplysninger, der har været udsat for sårbarheden, er TikTok-kaldenavn, profil- og avatarbilleder, unikke bruger-id'er og indstillinger mv. Alt sammen data, som ville kunne bruges til spearphishingangreb og andre ondsindede aktiviter, som Bleeping Computer tilføjer.
Det anbefales således at opdatere til den nyeste version af TikTok.
Links:
https://www.infosecurity-magazine.com/news/tiktok-bug-gave-access-contacts/