XÜSUSİ DÖVLƏT MÜHAFİZƏ XİDMƏTİ
XÜSUSİ RABİTƏ VƏ İNFORMASİYA
TƏHLÜKƏSİZLİYİ DÖVLƏT AGENTLİYİ

KOMPÜTER İNSİDENTLƏRİNƏ QARŞI MÜBARİZƏ
MƏRKƏZİ

İnsident bildir

Xəbərlər > TikTok-un Android versiyasındakı xətalar istifadəçilərin hesablarını oğurlamaq imkanı yaradırdı.

16 Sen 2020

  TikTok tərtibatçıları eyni adlı Android tətbiqində dörd boşluğu aradan qaldırıblar. Bu boşluqların təhlükləsi qısa videoların yaradılması və baxılması üçün nəzərdə tutulan servis istifadəçilərinin hesablarının sındırılması imkanından ibarət idi. Mobil tətbiqlərin təhlükəsizliyi ilə məşğul olan Oversecured şirkətinin əməkdaşları TikTok-un Android versiyasının kodunda çatışmazlıqlar aşkar etmişdir. Dəliklərin mövcudluğu qurğuda quraşdırılmış zərərli proqrama TikTok-dan məxfi faylları tutmaq imkanı verirdi (məsələn, sessiya tokenlərini). Həmin tokenləri ələ keçirərək, xakerlər, şifrə daxil etmək zərurəti olmadan, istifadəçinin hesabına daxil ola bilirdi.

  Bu cür hücum zamanı zərərli proqram faylı zəifliyi olan TikTok tətbiqinə daxil etməlidir. İstifadəçi populyar servisi işə salan kimi, zərərli fayl fon rejimində hücumu təşkil edənin serverinə sessiya tokenlərini göndərir. Oversecured-in qurucusu olan Sergey Toşinin sözlərinə görə, Android qurğusuna düşən zərərli proqram həmçinin sistemdə TikTok icazələrindən istifadə edə: kameraya, mikrofona, fotoşəkillərə və videoyazılara keçid əldə edə bilirdi. Oversecured mütəxəssisləri texniki zəiflik haqqında ətraflı məlumatları öz saytlarında paylaşmışdır. TikTok nümayəndələri isə təhlükəsizlik probleminin aradan qaldırıldığını bildirdilər.