Уязвимости позволяли не только похищать данные пользователей, но и манипулировать их статусами в профиле и видео.
Специалисты компании Check Point опубликовали отчет о серьезных уязвимостях в популярном приложении TikTok. С их помощью злоумышленники могли не только похищать данные пользователей, но и манипулировать их статусами в профиле и видео.
В частности, уязвимости позволяли получать доступ к чужим учетным записям и манипулировать их контентом, удалять и загружать видео, делать скрытые видеоролики видимыми для всех и раскрывать сохраненную в аккаунте персональную информацию (например, электронный адрес).
В ходе исследования безопасности приложения эксперты обнаружили, что сайт TikTok позволяет от своего имени отправлять SMS-сообщения на любые номера телефонов. Злоумышленник может осуществить спуфинг сообщения, изменив параметр download_url в перехваченном HTTP-запросе, вставить любую, в том числе вредоносную, ссылку и отправить ее пользователю от имени команды TikTok.
Злоумышленник может осуществить реинжиниринг поддельной ссылки и отправить TikTok запросы вместе с cookie-файлами жертвы. Здесь могут быть проэксплуатированы другие обнаруженные исследователями уязвимости. Даже без межсайтовой подделки запросов злоумышленник может выполнить JavaScript-код и совершать действия от лица пользователя. С помощью комбинации POST- и GET-запросов атакующий может менять настройки приватности скрытых видео, создавать новые ролики и публиковать их в учетной записи жертвы.
Выполнение JavaScript-кода также позволяет получать персональную информацию жертвы через существующие вызовы API, однако для этого атакующему сначала придется обойти механизмы безопасности SOP (правило ограничения домена) и CORS (совместное использование ресурсов между разными источниками).
Разработчик приложения исправил уязвимости до публикации отчета исследователей.
