اكتشف باحثو الأمن في Check Point ثغرة كبيرة في تطبيق TikTok، مما يجعل البيانات وأرقام هواتف العديد من المستخدمين في متناول المتسللين. وهذا على مستوى البروتوكول المستخدم لمزامنة جهات الاتصال مع الملفات الشخصية لأعضاء التطبيق. ومنذ ذلك الحين تم الإبلاغ عنه وإصلاحه من قبل الشركة.
على الرغم من أنهاالتطبيق الأكثر تحميلا لعام 2020، TikTok ليس خاليًا من جميع العيوب. كشف معهد أبحاث الأمن السيبراني Check Point في الواقع عن وجود خلل كبير في الشبكة الاجتماعية مما يجعلها في متناول أي متسللالبيانات الشخصية لملايين المستخدمين. وبالتالي أصبح من الممكن الوصول إلى تفاصيل الملف الشخصي بالإضافة إلى أرقام الهواتف المرتبطة بالحسابفترة غير محددة.
الخلل يكمن في الوظيفة "ابحث عن أصدقاء"، والذي يعرض مزامنة جهات الاتصال الخاصة بك للعثور على الملف الشخصي لمعارفك. ويستند هذا الأخيرطلبين HTTP: أول من يرسل اسم جهات الاتصال والأرقام المقابلة إلى TikTok؛ وثانية للعثور على الملفات الشخصية للمستخدمين المرتبطين بالأرقام وعرض ألقابهم وصورهم وغيرها من المعلومات.
لقد أتاح TikTok الوصول إلى البيانات الشخصية لملايين المستخدمين
عادةً ما تقتصر مزامنة ملف التعريف على500 جهة اتصال يوميًا، مستخدم وجهاز. ومع ذلك، تمكنت Check Point من التحايل على هذا القيد من خلال استعادة العناصر اللازمة لتحديد الهوية، وهي ملفات تعريف الارتباط الخاصة بالخادم والرمز المميز المستخدم عند الاتصال عبر الرسائل القصيرة وإعادة إنتاج كل شيء علىمحاكي أندرويد.
إقرأ أيضاً –TikTok يعزز إعدادات الخصوصية الخاصة به للشباب ويفرض عليهم ملفًا شخصيًا خاصًا
يمكن للمتسلل استخدام هذه الطريقة لتعديل طلبات HTTP للحصول على أي عدد يريده من أرقام الهواتفأتمتة العملية. وبهذه الطريقة، يمكنه إنشاء قاعدة بيانات للحسابات المرتبطة ببعضها البعض بواسطة هذا البروتوكول. وسيكون من الممكن أيضا الوصول إليهاجميع تفاصيل الملفات الشخصية المتزامنةوبالتالي، البحث عن البيانات الشخصية الأخرى المراد سرقتها من منصات الطرف الثالث. ونبهت Check Point TikTok إلى وجود الخلل منذ ذلك الحينتصحيح.
مصدر :نقطة تفتيش