▾ G11 Media Network: | ChannelCity | ImpresaCity | SecurityOpenLab | GreenCity | Italian Channel Awards | Italian Project Awards | ...
Homepage > Notizia

TikTok: vulnerabilità permette di accedere ai dati degli utenti, compreso il numero di telefono

La falla, identificata da Check Point Research, permette di accedere a dati come: numero di telefono, nickname, immagini del profilo e dell'avatar, gli ID utente unici e alcune impostazioni del profilo.

Autore: Redazione BitCity

Pubblicato il: 27/01/2021

Check Point ha identificato una nuova vulnerabilità nell’app TikTok, dopo che ne aveva già scoperta un’altra a cavallo tra 2019 e 2020. 
La nuova falla, trovata nella funzione “Trova Amici” di TikTok, consentirebbe di bypassare le protezioni sulla privacy create per difendere gli utenti dell’app. Se lasciata senza patch, la vulnerabilità permetterebbe a un hacker di accedere ai dettagli del profilo di un utente e anche al numero di telefono associato al suo account, dando la possibilità di costruire un database da utilizzare per attività illecite.
I dettagli del profilo accessibili tramite questa falla includono: il numero di telefono, il nickname, le immagini del profilo e dell'avatar, gli ID utente unici e alcune impostazioni del profilo, come ad esempio quella che consente a un utente di essere un follower pubblico o anonimo. 

Come l’hacker poteva sfruttare la vulnerabilità:
  • L’aggessore ha creato un elenco di dispositivi con i loro ID, utilizzati poi per la query dei server di TikTok.
  • Dopodiché ha creato una lista di token di sessione (ognuno valido per 60 giorni) che saranno utilizzati per interrogare i server di TikTok.
  • Ha bypassato il meccanismo HTTP della firma digitale di TikTok utilizzando il proprio servizio di firma, eseguito in background.
  • Infine, ha legato il tutto modificando le richieste HTTP, firmandole di nuovo e utilizzando vari token e ID per bypassare i sistemi di difesa di TikTok.
CPR ha comunicato le sue scoperte a ByteDance, il produttore di TikTok. TikTok ha dichiarato: “La sicurezza e la privacy della comunità di TikTok hanno la nostra massima priorità, e apprezziamo il lavoro di partner fidati come Check Point nell'identificare potenziali problemi in modo da poterli risolvere prima che colpiscano gli utenti. Continuiamo a rafforzare le nostre difese, sia aggiornando costantemente le nostre capacità interne come l'investimento in difese di automazione, sia lavorando con terze parti.” È stato poi stato diffuso un aggiornamento per garantire la sicurezza.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di BitCity.it iscriviti alla nostra Newsletter gratuita.

Tag:

Notizie che potrebbero interessarti: