Forskare visar hur man hackar alla TikTok-konton genom att skicka SMS

177 2 minutes read

Tick ​​tackDen tredje, mest nedladdade applikationen under 2019, är under strikt övervakning av användarnas integritet, censurera innehåll som är politiskt kontroversiellt och av skäl för nationell säkerhet – men det är inte över än, eftersom säkerheten för miljarder TikTok-användare nu ifrågasätts.

Det berömda kinesiska virala videodelningsprogrammet innehåller potentiellt farliga sårbarheter som kan göra det möjligt för en angripare att kapa ett användarkonto bara genom att veta antalet riktade mobiltelefonoffer.

I en rapport som delades privat med The Hacker News avslöjade cybersecurity-forskare vid Check Point att genom att sammanfatta vissa sårbarheter kan de på externt sätt utföra skadlig kod och vidta oönskade åtgärder för offrens räkning utan deras samtycke.

Rapporterade sårbarheter inkluderar problem med låg svårighetsgrad, till exempel förfalskning av SMS-länkar, öppna omdirigeringar och skript över flera webbplatser (XSS), som i kombination kan göra det möjligt för fjärrangripare att utföra attacker med hög effekt, inklusive:

  • radera alla videoklipp från TikTok-profilens offer,
  • laddade upp en obehörig video till offrets TikTok-profil,
  • offentliggöra privata “dolda” videor,
  • avslöja personlig information lagrad på ett konto, till exempel en personlig adress och e-post.

Attacken använder ett osäkrat SMS-system som TikTok erbjuder på sin webbplats för att låta användare skicka meddelanden till sina telefonnummer med en länk för att ladda ner videodelningsprogrammet.

Enligt forskarna kan angripare skicka SMS-meddelanden till vilket telefonnummer som helst på uppdrag av TikTok med en nedladdnings-URL som är modifierad till en skadlig sida som är utformad för att köra kod på riktade enheter med TikTok-applikationen som redan är installerad.tiktok-kontohackningstekniker


hacka tiktok-konto

I kombination med öppna omdirigeringar och problem med skript över flera webbplatser kan attacken tillåta hackare att köra JavaScript-kod för offrens räkning så snart de klickar på länken som skickats av TikTok-servern via SMS, vilket visas i videodemonstrationen. Hacker nyheter.

Denna teknik är vanligtvis känd som en anfallsförfalskningsattack för andra platser, angående en angripare som lura den autentiserade användaren att vidta en oönskad åtgärd.

“Med avsaknaden av en mekanism för förfalskning av Cross Site-förfrågningar, inser vi att vi kan utföra JavaScript-kod och vidta åtgärder för offerets räkning, utan hans samtycke,” sa forskarna i ett blogginlägg som publicerades idag.

“Att leda användare till skadliga webbplatser kommer att köra JavaScript-kod och göra förfrågningar till Tiktok med offerkakor.”

Check Point rapporterar på ett ansvarsfullt sätt denna sårbarhet till ByteDance, utvecklaren av TikTok, i slutet av november 2019, som sedan släpper en version av mobilapplikationen som lappats inom en månad för att skydda sina användare från hackare.

Om du inte kör den senaste versionen av TikTok som finns i den officiella applikationsbutiken för Android och iOS, rekommenderas du att uppdatera den så snart som möjligt.

Tags
177 2 minutes read

Relaterade Inlägg

KFC menerbitkan sim kencan di mana Anda dapat melihat romansa Kolonel Sanders

KFC publicerar en datingsim där du kan se romantik av överste Sanders

Force Restart Your Galaxy S9 or S9+ When It's Acting Up

Hur man tvingas starta om din Galaxy S9 eller S9 + när du agerar «Android ::

Huawei Bergabung dengan Paris Call for Trust, Security in Cyberspace 1

Huawei går med i Paris Call for Trust, Security in Cyberspace

Apple Dituduh Melanggar Hukum Perburuhan Tiongkok

Apple anklagas för att ha brutit mot den kinesiska arbetsrätten

© Copyright 2023, All Rights Reserved  |  Tekniska Bloggspel, Android-app-apk, Tips och Tricks
Back to top button