Gündem

SMS Göndererek TikTok Hesabı Ele Geçirilebilir

Reklam

SMS Göndererek TikTok Hesabı Ele Geçirilebilir

2019’daki üçüncü en çok indirilen uygulama olan TikTok, kullanıcıların gizliliği üzerinde yoğun bir inceleme altında, politik olarak tartışmalı içeriği ve ulusal güvenlik gerekçelerini sansürlüyor ancak milyarlarca TikTok kullanıcısının güvenliği şu anda sorgulanacağı için henüz bitmedi.

Ünlü Çinli Viral Video paylaşım uygulaması, uzak saldırganların hedeflenen kurbanların cep telefonu numarasını bilerek herhangi bir kullanıcı hesabını ele geçirmesine izin verebilecek potansiyel olarak tehlikeli güvenlik açıkları içeriyordu.

Hacker News ile özel olarak paylaşılan bir raporda, kontrol noktasındaki siber güvenlik araştırmacıları, birden fazla güvenlik açığının zincirlenmesinin, kötü amaçlı kodları uzaktan yürütmelerine ve kurbanların rızası olmadan istenmeyen eylemleri gerçekleştirmelerine izin verdiğini ortaya koydu.

Bildirilen güvenlik açıkları, SMS bağlantısı sahtekarlığı, açık Yeniden Yönlendirme ve siteler arası komut dosyası oluşturma (XSS) gibi düşük önem sorunları aşağıdaki gibi senaryoları etkiliyor:

  • Kurbanların TikTok profilindeki videoların silinmesi,
  • İzinsiz videoların kurbanların TikTok profiline yüklenmesi,
  • Özel ” gizli ” videoların kamuya yayınlanması,
  • Özel adresler ve e-postalar gibi hesapta kaydedilen kişisel bilgilerin açığa çıkarılması.

Araştırmacılara göre, bir saldırgan tiktok adına herhangi bir telefon numarasına değiştirilmiş bir indirme URL’si ile önceden yüklenmiş tiktok uygulamasıyla hedeflenen bir cihazda kod yürütmek üzere tasarlanmış kötü amaçlı bir kullanıcı veya sayfaya SMS mesajı gönderebilir.

Açık Yönlendirme ve siteler arası komut dosyası sorunları ile birleştirildiğinde, saldırı, hacker haberleriyle paylaşılan video gösteri kontrol noktasında gösterildiği gibi, TİKTOK sunucusu tarafından SMS üzerinden gönderilen bağlantıyı tıkladıkları anda bilgisayar korsanlarının mağdurlar adına JavaScript kodu çalıştırmasına izin verebilir.

Bu teknik genellikle siteler arası istek sahteciliği saldırısı olarak bilinir; burada saldırganlar kimliği doğrulanmış kullanıcıları istenmeyen bir eylemi yürütmek için kandırırlar.

Araştırmacılar, bugün yayınlanan bir blog yazısında,”Siteler arası talep sahteciliği mekanizmasının eksikliği ile, JavaScript kodunu yürütebileceğimizi ve kurban adına, rızası olmadan eylemler gerçekleştirebileceğimizi fark ettik” dedi.

“Kullanıcıyı kötü amaçlı bir web sitesine yönlendirmek JavaScript kodunu yürütecek ve kurbanın çerezleri ile tik tok’a istekte bulunacaktır.” Şeklinde açıkladı.

Check Point, bu güvenlik açıklarını, 2019 Kasım ayı sonlarında TikTok geliştiricisi Bytedance‘a bildirdi ve daha sonra kullanıcılarını bilgisayar korsanlarından korumak için bir ay içinde mobil uygulamasının yamalı bir sürümünü yayınladı.

Android ve iOS için resmi uygulama mağazalarında bulunan Tik Tok’un en son sürümünü kullanmıyorsanız, mümkün olan en kısa sürede güncellemeniz önerilir.

Daha fazla içeriğe ulaşmak için turkhackteam.com.tr/kategori/gundem/
Etiketler
Daha Fazla Göster

İlgili Makaleler

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir