Исследовательская группа киберкомпании Imperva обнаружила уязвимость, которая позволяла злоумышленникам отслеживать активность пользователей популярного приложения как на мобильных, так и на настольных устройствах.
Выявленное нарушение безопасности TikTok позволяло потенциальным злоумышленникам осуществить утечку информации о любом пользователе платформы при переходе по ссылке, сообщила в среду компания по кибербезопасности Imperva.
По данным исследовательской группы компании, эта уязвимость была вызвана обработчиком событий window message, который неправильно проверял источник сообщения, предоставляя злоумышленникам доступ к конфиденциальной пользовательской информации. Информация включала сведения об устройстве, сведения о пользователе, историю и время просмотров, поисковые запросы и многое другое. К нарушениям безопасности, как сообщается, привело отсутствие аутентификации как при получении, так и при отправке внутренних сообщений в системе.
После выявления уязвимости, представители Imperva связались с разработчиками приложения. Проблема с безопасностью была полностью решена.
«Это нарушение является отличным примером того, как конфиденциальность и безопасность в социальных сетях во многом зависят от компаний, предоставляющих сервис, — прокомментировал сообщение Надав Авиталь, директор по исследованию угроз Imperva. — Небезопасное использование функции, зависящей от внешнего ввода, привело к утечке личной информации, которая могла быть использована хакерами для дальнейших атак, таких как фишинг, шантаж или для атак на устройства известных пользователей. Мы ценим тот факт, что Tiktok серьёзно поработал над устранением этой уязвимости».
