TikTok Vulnerability Bisa Mengekspos Data Profil dan Nomor Telepon Penggunanya
TikTok Vulnerability Bisa Mengekspos Data Profil dan Nomor Telepon Penggunanya
TikTok, juga dikenal sebuah jaringan sosial dan platform video musik Tiongkok yang diluncurkan pada September 2016 oleh Zhang Yiming, pendiri Toutiao. Aplikasi tersebut membolehkan para pemakai untuk membuat video musik pendek mereka sendiri. TikTok saat ini banyak pengguna dari beberapa negara seperti Indoneisa, China, India, dan negara lainya, dari anak - anak sampai orang dewasa saat ini banyak sekali pengguna TikTok akan tetapi Tiktok memiliki sebuah kerentanan yang berbahaya, yaitu data profil dan nomor telepon Anda bisa terekspos. Berikut ulasan tentang vulanerability pada app TikTok.
Peneliti cybersecurity pada hari Selasa mengungkapkan kelemahan keamanan yang sekarang telah ditambal di TikTok yang berpotensi memungkinkan penyerang untuk membangun database pengguna aplikasi dan nomor telepon terkait untuk aktivitas jahat di masa depan.
Meskipun cacat ini hanya berdampak pada pengguna yang telah menautkan nomor telepon dengan akun mereka atau masuk dengan nomor telepon, eksploitasi kerentanan yang berhasil dapat mengakibatkan kebocoran data dan pelanggaran privasi, kata Check Point Research dalam analisis yang dibagikan dengan The Berita Hacker.
TikTok telah menerapkan perbaikan untuk mengatasi kekurangan tersebut setelah pengungkapan yang bertanggung jawab dari para peneliti Check Point.
Bug yang baru ditemukan berada di fitur " Temukan teman " TikTok yang memungkinkan pengguna untuk menyelaraskan kontak mereka dengan layanan untuk mengidentifikasi orang-orang potensial untuk diikuti.
Kontak diunggah ke TikTok melalui permintaan HTTP berupa daftar yang terdiri dari nama kontak berciri dan nomor telepon yang sesuai.
Aplikasi tersebut, pada langkah berikutnya, mengirimkan permintaan HTTP kedua yang mengambil profil TikTok yang terhubung ke nomor telepon yang dikirim dalam permintaan sebelumnya. Tanggapan ini mencakup nama profil, nomor telepon, foto, dan informasi terkait profil lainnya.
Sementara permintaan kontak unggah dan sinkronisasi dibatasi hingga 500 kontak per hari, per pengguna, dan per perangkat, peneliti Check Point menemukan cara untuk mengatasi batasan tersebut dengan mendapatkan pengenal perangkat, cookie sesi yang ditetapkan oleh server, unik token bernama "X-Tt-Token" yang disetel saat masuk ke akun dengan SMS dan mensimulasikan seluruh proses dari emulator yang menjalankan Android 6.0.1.
Perlu dicatat bahwa untuk meminta data dari server aplikasi TikTok, permintaan HTTP harus menyertakan header X-Gorgon dan X-Khronos untuk verifikasi server, yang memastikan bahwa pesan tidak dirusak.
Tetapi dengan memodifikasi permintaan HTTP - jumlah kontak yang ingin disinkronkan oleh penyerang - dan menandatanganinya kembali dengan tanda tangan pesan yang diperbarui, kekurangan tersebut memungkinkan untuk mengotomatiskan prosedur mengunggah dan menyinkronkan kontak dalam skala besar dan membuat database akun tertaut dan nomor teleponnya yang terhubung.
Ini jauh dari pertama kalinya aplikasi berbagi video populer ditemukan mengandung kelemahan keamanan.
Pada Januari 2020, peneliti Check Point menemukan beberapa kerentanan dalam aplikasi TikTok yang dapat dieksploitasi untuk mendapatkan akun pengguna dan memanipulasi konten mereka, termasuk menghapus video, mengunggah video yang tidak sah, membuat video "tersembunyi" pribadi menjadi publik, dan mengungkapkan informasi pribadi. disimpan di akun.
Kemudian pada bulan April, peneliti keamanan Talal Haj Bakry dan Tommy Mysk mengungkap kelemahan di TikTok yang memungkinkan penyerang menampilkan video palsu, termasuk dari akun terverifikasi, dengan mengarahkan aplikasi ke server palsu yang menampung koleksi video palsu.
Akhirnya, TikTok meluncurkan kemitraan bug bounty dengan HackerOne Oktober lalu untuk membantu pengguna atau profesional keamanan menandai masalah teknis dengan platform tersebut. Kerentanan kritis (skor CVSS 9 - 10) memenuhi syarat untuk pembayaran antara $ 6.900 hingga $ 14.800, menurut program tersebut.
"Motivasi utama kami, kali ini, adalah untuk mengeksplorasi privasi TikTok," kata Oded Vanunu, kepala penelitian kerentanan produk di Check Point. "Kami ingin tahu apakah platform TikTok dapat digunakan untuk mendapatkan data pribadi pengguna. Ternyata jawabannya adalah ya, karena kami dapat melewati beberapa mekanisme perlindungan TikTok yang menyebabkan pelanggaran privasi."
"Penyerang dengan tingkat informasi sensitif seperti itu dapat melakukan berbagai aktivitas berbahaya, seperti phishing tombak atau tindakan kriminal lainnya."
Keyowrd search :
- Tiktok
- Hacker News
- Tiktok Baned
- Tiktok Bug
« Terbaru
Postingan Lebih Baru
Terlama »
Postingan Lama