Ranije ove godine, TikTok je pokrenuo program za rano otkrivanje grešaka i ranjivosti koje mogu naškoditi mreži. Čini se da je taj napor donio rezultate, jer je nedavno otklonio ozbiljnu manu koju je otkrila firma Check Point Research. Ranjivost je omogućavala napadačima da koriste funkciju App Finder za krađu podataka o profilu korisnika i brojeve telefona, koji se kasnije mogu koristiti za hakerske napade.
Istraživači Check Pointa razvili su exploit nakon što su uočili propust u načinu na koji su TikTokovi serveri potvrdili da zahtjevi za Find Friend dolaze sa legitimnih telefona. Koristeći jedinstveni ID uređaja za telefon svakog korisnika, aplikacija kreira korisnički token i kolačić sesije. Međutim, tim je otkrio da su kolačići važili do 60 dana, omogućavajući im upotrebu u virtuelnim uređajima umjesto u fizičkim telefonima.
Ranjivost je dopustila napadaču da izgradi bazu podataka o korisničkim detaljima i njihovim brojevima telefona. Napadač sa tim stepenom osjetljivih informacija mogao bi da izvrši niz zlonamjernih aktivnosti, kao što je krađa, ili druge kriminalne radnje.
Koristeći neke alate za hakovanje, mogli bi da zaobiđu TikTokovo potpisivanje HTTP poruke, promijene funkciju za sticanje kontakata i ponovo potpišu zahtjev. Budući da se sve ovo radilo na virtuelnom uređaju, proces bi mogao biti automatizovan. To omogućava napadačima da izgrade bazu podataka o korisničkim telefonskim brojevima, nadimcima, slikama profila i avatarima, jedinstvenim korisničkim ID-ovima i podešavanjima, poput toga da li je korisnik pratilac ili je korisnički profil sakriven. Dobro je da se sve završilo kako treba, i da je TikTok spriječio veće curenje informacija.