TikTok

Продукт
Разработчики: ByteDance
Отрасли: Интернет-сервисы

Содержание

TikTok – приложение для создания и просмотра коротких видеороликов.

2020

Обращение к буферу обмена каждые несколько секунд «для безопасности»

26 июня 2020 года стало известно, что компания Apple реализовала в iOS 14 дополнительных уведомлений, предупреждающих пользователей в случае, если какое-либо приложение получает доступ к буферу обмена. Как оказалось, подобным поведением «грешат» многие приложения. Некоторым сервисам доступ к буферу обмена действительно необходим для работы, однако остальные получают доступ просто так, без видимых причин.

Одним из приложений, получающих доступ к данным в буфере обмена на iOS-устройствах, является TikTok. По словам разработчиков, таким образом TikTok защищает пользователей от спама. Тем не менее, как именно работает этот механизм безопасности, непонятно. Как сообщили разработчики приложения, функция предназначена для выявления повторяющейся спам-активности.

Как отметил Джереми Бурже (Jeremy Burge) из Emojipedia, при наборе текста TikTok обращается к буферу обмена раз в несколько секунд.

«
Хорошо, TikTok достает данные из буфера обмена через каждые 1-3 строчки. iOS 14 доносит об этом с помощью своих уведомлений. Зачем TikTok нужно проверять буфер обмена (и вызывать уведомления) через каждые 1-3 строчки, непонятно. Это можно объяснить плохой реализацией фреймворка. Или чем-то более вредоносным, - написал Бурже в своем Twitter.
»

Когда о странном поведении TikTok стало известно общественности, «во избежание недоразумений» его разработчики заявили о намерении в будущем обновлении убрать антиспам-функцию. Последняя версия приложения на июнь 2020 года проходит процесс одобрения для публикации в App Store[1].

Уязвимость, позволяющая получать доступ к чужим учетным записям и манипулировать их контентом

9 января 2020 года стало известно, что специалисты компании Check Point опубликовали отчет о серьезных уязвимостях в приложении TikTok. С их помощью злоумышленники могли не только похищать данные пользователей, но и манипулировать их статусами в профиле и видео.

В частности, уязвимости позволяли получать доступ к чужим учетным записям и манипулировать их контентом, удалять и загружать видео, делать скрытые видеоролики видимыми для всех и раскрывать сохраненную в аккаунте персональную информацию (например, электронный адрес).

В ходе исследования безопасности приложения эксперты обнаружили, что сайт TikTok позволяет от своего имени отправлять SMS-сообщения на любые номера телефонов. Злоумышленник может осуществить спуфинг сообщения, изменив параметр download_url в перехваченном HTTP-запросе, вставить любую, в том числе вредоносную, ссылку и отправить ее пользователю от имени команды TikTok.

Реклама
Ультралегкие Fujitsu LIFEBOOK для вашего бизнеса

Производительные устройства с высокой степенью защиты данных для комфортной работы как в офисе, так и дома. Ваше рабочее место всегда с вами вместе с мобильными Fujitsu LIFEBOOK

Узнать больше

Злоумышленник может осуществить реинжиниринг поддельной ссылки и отправить TikTok запросы вместе с cookie-файлами жертвы. Здесь могут быть проэксплуатированы другие обнаруженные исследователями уязвимости. Даже без межсайтовой подделки запросов злоумышленник может выполнить JavaScript-код и совершать действия от лица пользователя. С помощью комбинации POST- и GET-запросов атакующий может менять настройки приватности скрытых видео, создавать ролики и публиковать их в учетной записи жертвы.

Выполнение JavaScript-кода также позволяет получать персональную информацию жертвы через существующие вызовы API, однако для этого атакующему сначала придется обойти механизмы безопасности SOP (правило ограничения домена) и CORS (совместное использование ресурсов между разными источниками).

Разработчик приложения исправил уязвимости до публикации отчета исследователей[2].

Ссылки

Ссылка на сервис

Примечания



СМ. ТАКЖЕ (3)