Eerder dit jaar lanceerde TikTok een bug bounty program: daarmee kunnen mensen geld verdienen met het melden van kritieke lekken binnen de app. Dat programma heeft er nu voor gezorgd dat er een groot lek gedicht is, dat ontdekt werd door beveiligingsbedrijf Check Point Research.
TikTok dicht groot lek
Via het lek konden kwaadwillenden namelijk via de Friend Finder-functie profielgegevens en telefoonnummers stelen van andere gebruikers. Vervolgens konden die gegevens in een database terechtkomen, die daarna verkocht kan worden aan mensen met interesse.
De onderzoekers van Check Point hebben een exploit ontwikkeld nadat ze doorkregen dat er een lek in de servers van TikTok zat, evenals de manier waarop gecontroleerd werd of een verzoek afkomstig was van een legitiem apparaat. Elke telefoon krijgt een uniek id toegewezen en de app maakt daarvoor een user token en session cookie aan. Die cookies zijn voor zestig dagen geldig en konden daardoor gebruikt worden in virtuele apparaten, in plaats van fysieke.
Door gebruik te maken van hacking tools kon de http-ondertekening omzeild worden, kon de functie van het verzoek omgezet worden naar het verkrijgen van contactgegevens en opnieuw ondertekend worden. Doordat dit allemaal gebeurde in een virtueel apparaat, kon het proces geautomatiseerd worden. Daardoor hebben de onderzoekers nu een database van telefoonnummers, profielnamen, profiel- en avatarfoto’s en unieke gebruikers-id’s in handen.
Het team van TikTok werd hiervan op de hoogte gebracht, die vervolgens aan de slag ging met een oplossing. Daardoor kunnen gebruikers veilig gebruik blijven maken van de populaire applicatie, die vooral door jongeren en kinderen gebruikt wordt.
Reacties (0)