Corea del Nord: Kim Jong Un Sancisce il Paese Come Potenza Nucleare ...Vaccinazione Autunno/Inverno 2023-2024: Ministero della Salute ...Milan vince 3-1 a Cagliari: Sardi iniziano bene, ma Rossoneri dominanoSerie A: Sassuolo sconfigge l'Inter 2-1, Napoli dominante contro ...Condanna a 24 anni per omicidio volontario: la Corte di Macerata ...Andrea Purgatori: Conferma Assenza Metastasi al Cervello, Avanzamento ...Alessandria: Uomo di 66 Anni Si Suicida Dopo Efferato Omicidio ...Francia e Italia Unite nella Gestione Migratoria: Nuove Prospettive ...Confermato Ergastolo per Gilberto Cavallini nella Strage di Bologna ...Regeni : Corte Costituzionale, Articolo 420-bis CPP dichiarato ...EA SPORTS WRC - un nuovo videoSony presenta tre microfoni wireless di qualità CoD Modern Warfare II e Warzone - Battle Pass e molto altro nella ...TARISLAND - MUSICHE DEL COMPOSITORE RUSSELL BROWER Call of Duty: Mobile Season 9: Graveyard ShiftGame System Trailer di NARUTO x BORUTO Ultimate Ninja STORM ...I K-Pop NewJeans suonano l'inno per il Campionato Mondiale 2023 di ...Raccontastorie FABA per HalloweenFabrizio Corona: Intervista Esclusiva a Belve - Amore, Carriera e ...Video Victor Osimhen: Dal Trionfo allo Scontro - Le Tensioni si ...Fashion Week Milano 2023: Paola Di Benedetto al Centro dell'AttualitàIncidente Lavorativo a Nocera Inferiore: Operaio 43enne Schiacciato ...Date di Pagamento Pensioni Ottobre 2023: Calendario Completo per INPS ...Schianto Mortale sulla Cassino-Sora: Tre VittimeArrestato Infermiere per Abusi Sessuali su Pazienti Oncologici a ...
di Giuseppe Saieva di martedì 26 gennaio 2021

TikTok: una nuova vulnerabilità permette di accedere a dati sensibili degli utenti


CheckPoint Research, la divisione Threat Intelligence di Check Point Software TechnologiesLtd, il principalefornitore di soluzioni di cybersecurity a livello globale, ha identificato unanuova vulnerabilità nell’app TikTok, dopo che ne aveva già scoperta un’altra acavallo tra 2019 e 2020.

La nuova falla, trovata nella funzione “Trova Amici” diTikTok, consentirebbe di bypassare le protezioni sulla privacy create perdifendere gli utenti dell’app. Se lasciata senza patch, la vulnerabilità permetterebbea un hacker di accedere ai dettagli del profilo di un utente e anche al numerodi telefono associato al suo account, dando la possibilità di costruire un databaseda utilizzare per attività illecite.

I dettagli del profilo accessibili tramite questa fallaincludono: il numero di telefono, il nickname, le immagini del profilo edell'avatar, gli ID utente unici e alcune impostazioni del profilo, come adesempio quella che consente a un utente di essere un follower pubblico oanonimo.

Come l’hacker poteva sfruttare lavulnerabilità

1.      L’aggessore ha creato un elenco didispositivi con i loro ID, utilizzati poi per la query dei server di TikTok.

2.      Dopodiché ha creato una lista di token disessione (ognuno valido per 60 giorni) che saranno utilizzati per interrogare iserver di TikTok.

3.      Ha bypassato il meccanismo HTTP della firmadigitale di TikTok utilizzando il proprio servizio di firma, eseguito inbackground.

4.      Infine, ha legato il tutto modificando lerichieste HTTP, firmandole di nuovo e utilizzando vari token e ID per bypassarei sistemi di difesa di TikTok.

Comunicazioneresponsabile

CPRha comunicato le sue scoperte a ByteDance, il produttore di TikTok. Successivamente,è stato diffuso un aggiornamento per garantire la sicurezza degli utenti diTikTok.

Commento di Oded Vanunu, Head of Products Vulnerabilities Researchdi Check Point: 

“Lanostra logica, questa volta, è stata quella di mettere a prova la privacy diTikTok. Eravamo curiosi di sapere se la piattaforma potesse essere usata daglihacker per ottenere dati privati degli utenti; e la risposta è sì, in quantosiamo stati in grado di bypassare più meccanismi di difesa di TikTok. Questa vulnerabilitàavrebbe potuto permettere ad un aggressore di costruire un database dettagliatodegli utenti che, con quel grado di informazioni sensibili, avrebbe permesso all’aggressoredi eseguire una serie di attività criminali come lo spear phishing. Il nostro consiglioagli utenti di TikTok, e non solo, è quello di condividere i propri dati personalisolo quando strettamente necessario e soprattutto di aggiornare sempre ilsistema operativo e le applicazioni alle ultime versioni.”

TikTokha dichiarato:

“Lasicurezza e la privacy della comunità di TikTok hanno la nostra massimapriorità, e apprezziamo il lavoro di partner fidati come Check Pointnell'identificare potenziali problemi in modo da poterli risolvere prima checolpiscano gli utenti. Continuiamo a rafforzare le nostre difese, siaaggiornando costantemente le nostre capacità interne come l'investimento indifese di automazione, sia lavorando con terze parti.”

Altre News per: tiktoknuovavulnerabilitàpermetteaccederedatisensibili
Advertising