PRAHA – 29. ledna 2021 — Check Point Research, výzkumný tým společnosti Check Point® Software Technologies Ltd. (NASDAQ: CHKP), předního světového poskytovatele kyberbezpečnostních řešení, odhalil novou zranitelnost v TikToku, která se ukrývala ve funkci pro vyhledávání přátel. V případě zneužití zranitelnosti by mohli útočníci získat přístup k podrobnostem o profilu a telefonnímu číslu uživatele a vytvořit tak databázi pro další škodlivé aktivity. Kromě toho bylo možné získat informace o přezdívce, profilové obrázky nebo například unikátní ID uživatele.
Popis zneužití zranitelnosti
- Vytvoření seznamu zařízení (ID zařízení), která budou použita k dotazování na servery TikTok.
- Vytvoření seznamu tokenů (každý token je platný po dobu 60 dnů), které budou použity pro dotazy na serverech TikTok.
- Obejití mechanismu pro podepisování HTTP zpráv pomocí vlastní podpisové služby spuštěné na pozadí.
- Propojení všech kroků úpravou HTTP požadavků, jejich znovu podepsání a použití různých tokenů a ID zařízení k obejití ochranných mechanismů TikToku.
Check Point o svých zjištěních zodpovědně informoval společnost ByteDance, tvůrce TikToku. Následně bylo nasazeno řešení, které uživatelům TikToku umožňuje bezpečné používání aplikace.
Check Point už dříve odhalil jiné zranitelnosti, které mohli hackeři zneužít ke krádežím osobních informací a manipulaci s účty obětí.
„Snažili jsme se tentokrát prozkoumat ochranu soukromí na TikToku. Byli jsme zvědaví, zda lze platformu TikTok použít k získání soukromých uživatelských dat. Ukázalo se, že ano, protože jsme pomocí objevené zranitelnosti dokázali obejít několik ochranných mechanismů TikToku. Zranitelnost mohla útočníkům umožnit vytvořit databázi informací o uživatelích a jejich telefonních čísel. Hackeři by podobná citlivá data mohli zneužít k celé řadě škodlivých aktivit, jako je spearphishing nebo jiná trestná činnost. Doporučujeme pro jistotu sdílet na TikToku minimum osobních informací. Zároveň aktualizujte svůj operační systém, stejně jako používat vždy nejnovější verze aplikací,“ říká Peter Kovalčík, Regional Director, Security Engineering EE v kyberbezpečnostní společnosti Check Point.
„Zabezpečení a soukromí komunity TikTok je naší nejvyšší prioritou. Oceňujeme práci důvěryhodných partnerů, jako je Check Point, a jejich pomoc při identifikaci potenciálních problémů, které tak můžeme odstranit dříve, než mohou ovlivnit uživatele. Nadále posilujeme a zlepšujeme ochranu, investujeme do automatizovaného zabezpečení a prohlubujeme spolupráci se třetími stranami,“ uvedl TikTok ve svém prohlášení.
Více informací najdete v analýze kyberbezpečnostní společnosti Check Point:
https://research.checkpoint.com/2021/tiktok-fixes-privacy-issue-discovered-by-check-point-research/
Sledujte novinky o bezpečnostním týmu Check Point Research:
Blog: https://research.checkpoint.com/
Twitter: https://twitter.com/_cpresearch_
Sledujte novinky o společnosti Check Point:
Twitter: http://www.twitter.com/checkpointsw
Facebook: https://www.facebook.com/checkpointsoftware
Blog: http://blog.checkpoint.com
YouTube: http://www.youtube.com/user/CPGlobal
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies
O výzkumném týmu Check Point Research
Check Point Research poskytuje zákazníkům společnosti Check Point Software a širší bezpečnostní komunitě detailní informace o kyberhrozbách. Výzkumný tým shromažďuje a analyzuje data o globálních kyberútocích ze sítě ThreatCloud, chrání tak před hackery a zajišťuje, že všechny produkty Check Point jsou aktualizované a mají nejnovější ochranu. Výzkumný tým se skládá z více než 100 analytiků a výzkumných pracovníků, kteří spolupracují také s dalšími bezpečnostními společnostmi, donucovacími orgány a organizacemi CERT.
O společnosti Check Point Software Technologies
Check Point Software Technologies Ltd. (www.checkpoint.com) je přední poskytovatel kyberbezpečnostních řešení pro vlády a organizace po celém světě. Chrání zákazníky před kyberútoky 5. generace prostřednictvím unikátních řešení, která nabízí bezkonkurenční úspěšnost zachycení malwaru, ransomwaru a jiných pokročilých cílených hrozeb. Check Point nabízí víceúrovňovou bezpečnostní architekturu, Infinity Total Protection s pokročilou prevencí hrozeb 5. generace, a tato kombinovaná produktová architektura chrání podnikové sítě, cloudová prostředí a mobilní zařízení. Check Point navíc poskytuje nejkomplexnější a nejintuitivnější nástroje pro správu zabezpečení. Check Point chrání více než 100 000 organizací všech velikostí.