TikTok: vulnerabilità permette di accedere ai dati degli utenti, compreso il numero di telefono

La falla, identificata da Check Point Research, permette di accedere a dati come: numero di telefono, nickname, immagini del profilo e dell'avatar, gli ID utente unici e alcune impostazioni del profilo.

Autore: Redazione BitCity

Check Point ha identificato una nuova vulnerabilità nell’app TikTok, dopo che ne aveva già scoperta un’altra a cavallo tra 2019 e 2020. 
La nuova falla, trovata nella funzione “Trova Amici” di TikTok, consentirebbe di bypassare le protezioni sulla privacy create per difendere gli utenti dell’app. Se lasciata senza patch, la vulnerabilità permetterebbe a un hacker di accedere ai dettagli del profilo di un utente e anche al numero di telefono associato al suo account, dando la possibilità di costruire un database da utilizzare per attività illecite.
I dettagli del profilo accessibili tramite questa falla includono: il numero di telefono, il nickname, le immagini del profilo e dell'avatar, gli ID utente unici e alcune impostazioni del profilo, come ad esempio quella che consente a un utente di essere un follower pubblico o anonimo. 

Come l’hacker poteva sfruttare la vulnerabilità: L’aggessore ha creato un elenco di dispositivi con i loro ID, utilizzati poi per la query dei server di TikTok. Dopodiché ha creato una lista di token di sessione (ognuno valido per 60 giorni) che saranno utilizzati per interrogare i server di TikTok. Ha bypassato il meccanismo HTTP della firma digitale di TikTok utilizzando il proprio servizio di firma, eseguito in background. Infine, ha legato il tutto modificando le richieste HTTP, firmandole di nuovo e utilizzando vari token e ID per bypassare i sistemi di difesa di TikTok. CPR ha comunicato le sue scoperte a ByteDance, il produttore di TikTok. TikTok ha dichiarato: “La sicurezza e la privacy della comunità di TikTok hanno la nostra massima priorità, e apprezziamo il lavoro di partner fidati come Check Point nell'identificare potenziali problemi in modo da poterli risolvere prima che colpiscano gli utenti. Continuiamo a rafforzare le nostre difese, sia aggiornando costantemente le nostre capacità interne come l'investimento in difese di automazione, sia lavorando con terze parti.” È stato poi stato diffuso un aggiornamento per garantire la sicurezza.

Visualizza la versione completa sul sito

Informativa
Questo sito o gli strumenti terzi da questo utilizzati si avvalgono di cookie necessari al funzionamento ed utili alle finalità illustrate nella cookie policy. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie, consulta la cookie policy. Chiudendo questo banner, acconsenti all’uso dei cookie.