TikTok Güvenlik Açığı | SMS Göndererek Tik Tok Hesabını Heklemek


 TikTok Güvenlik Açığı | SMS Göndererek Tik Tok Hesabını Heklemek

En çok indirilen uygulamalar listesinde üçüncü sırada yer alan TikTok , " Check Point Research " tarafından açıklanan ana güvenlik açığını giderdi .


TikTok Güvenlik Açığı | SMS Göndererek Tik Tok Hesabını Heklemek En çok indirilen uygulamalar listesinde üçüncü sırada yer alan TikTok , " Check Point Research " tarafından açıklanan ana güvenlik açığını giderdi .    Bu güvenlik açığının öncelikle bilgisayar korsanlarının kullanıcının TikTok hesabına erişmesi ve kişisel verilerini manipüle etmesi için bir yol olduğu kanıtlanmıştı. Bu güvenlik açığı geçen Kasım ayında güvenlik firması tarafından tespit edilmişti ve TikTok geliştiricileri Aralık 2019'da bunu başarıyla düzeltmişti .  Dünya çapında 1 milyardan fazla kullanıcısı olan TikTok, bilgisayar korsanlarının kullanıcıların kişisel verilerine saldırmaları için harika bir platform olmuştur. Bu güvenlik açığından yararlanarak özel bilgilerini toplamak için belirli kişisel kişilerin hedef alması çok büyük bir olay olurdu.  Uygulama içindeki güvenlik açıkları: " Check Point Research " ekipleri, TikTok uygulamasında çeşitli güvenlik açıkları keşfetti. Araştırmada listelenen güvenlik açıkları, bilgisayar korsanlarının kullanıcının hesabını aşağıdaki şekillerde değiştirmesini mümkün kılmıştır:  ·         TikTok hesaplarına erişim sağlamak ve içindeki içeriği manipüle etmek.  ·         Zaten yayınlanmakta olan videoları silme  ·         Hesaba yasa dışı ve izinsiz videolar yüklemek.  ·         " Gizli " videoları " Herkese Açık " yapma.  ·         E-posta adreslerini, doğum tarihini ve iletişim numarasını içeren, hesaba kaydedilen kullanıcının kişisel bilgilerini ifşa etmek.  Saldırı Yürütme: Saldırı temelde TikTok'un web sitesinde sunduğu SMS sistemi yardımıyla yapıldı. Bu, kullanıcılardan telefon numaralarını girmelerini ister ve ardından TikTok Uygulamasını indirme bağlantısıyla birlikte kullanıcıların telefon numarasına bir mesaj gönderir.  Saldırganlar daha sonra TikTok'un kendisi adına kullanıcılara mesaj göndermek için sahtekarlığı kullanır . Bu şekilde saldırgan , hedef sistemdeki kötü amaçlı kodu yürütmek için tasarlanmış değiştirilmiş İndirme URL'sini gönderir ve bu şekilde kullanıcının TikTok hesabına erişim kazanır.  Kontrol Noktası Araştırması tarafından yapılan Saldırının Aşamalı Analizi 1. Adım: SMS Link Spoofing  Saldırganlar, metin mesajı göndermek için önce kullanıcının telefon numarasına erişmelidir. Bu saldırgan , HTTP isteğini yakalamak için Burp Suite gibi bir proxy aracı kullanır .  Telefon numarası , SMS'in gönderildiği Mobil parametresi ile alınabilir  ve uygulamayı indirmek için Download_URL SMS'de görünür .  Adım 2: Meşru mesajı yumuşatmak.  Saldırgan daha sonra Download_URL'yi saldırganın saldırı için yazmak istediği bağlantıya değiştirir. Saldırgan, saldırıyı gerçekleştirmeden önce, kullanıcı tarafından tıklandığında uygulanacak kötü amaçlı bağlantıyı tasarlar.  3. Adım: XSS veya Açık Yeniden Yönlendirme.  Kötü amaçlı bağlantıya tıklayan kullanıcı adına JavaScript kodunun çalıştırılabileceği farklı olasılıklar vardır. Bunlar XSS ve Açık Yeniden Yönlendirmedir.  XSS saldırısı, kötü niyetli komut dosyalarının, normalde zararsız ve güvenilir web sitelerine enjekte edildiği bir saldırı türüdür. TikTok'un alt etki alanı https://ads.tiktok.com  XSS saldırılarına karşı savunmasızdır.  Açık yönlendirme rel = ”nofollow” , kullanıcının JavaScript kodunu daha fazla çalıştıran ve kurbanın çerezleriyle TikTok'a istekte bulunan kötü amaçlı bir web sitesine yeniden yönlendirilmesi anlamına gelir.  Adım 4: Saldırganın Ele Geçirilmesi: Kullanıcı Adına İşlem Yapmak.  Siteler Arası istek sahteciliği mekanizmasının olmaması nedeniyle, mağdur adına eylemler gerçekleştirecek JavaScript kodu çalıştırılabilir.  Bu eylem, Video Silme, Video Oluşturma, Takipçi Olma, Herkese Açık hale getirmek için videonun gizliliğini değiştirme ve Hassas verileri ifşa etmeyi içerir.  Özet: TikTok, eğlenceli bir klip yayınlamak için geniş bir platform olmuştur, ancak bilgisayar korsanları tarafından istismar edilirse tehlikeli bir platform olduğu kanıtlanabilir. Kullanıcılar, sosyal medya platformlarına özel şeyler yüklerken veya kaydederken ortaya çıkan potansiyel risklerin farkında olmalıdır.  TikTok bu güvenlik açığını düzelttiğinden, güvenli gezinme için uygulamanın en son sürümünü kullandığınızdan emin olmalısınız.

Bu güvenlik açığının öncelikle bilgisayar korsanlarının kullanıcının TikTok hesabına erişmesi ve kişisel verilerini manipüle etmesi için bir yol olduğu kanıtlanmıştı. Bu güvenlik açığı geçen Kasım ayında güvenlik firması tarafından tespit edilmişti ve TikTok geliştiricileri Aralık 2019'da bunu başarıyla düzeltmişti .

Dünya çapında 1 milyardan fazla kullanıcısı olan TikTok, bilgisayar korsanlarının kullanıcıların kişisel verilerine saldırmaları için harika bir platform olmuştur. Bu güvenlik açığından yararlanarak özel bilgilerini toplamak için belirli kişisel kişilerin hedef alması çok büyük bir olay olurdu.

Uygulama içindeki güvenlik açıkları:

Check Point Research " ekipleri, TikTok uygulamasında çeşitli güvenlik açıkları keşfetti. Araştırmada listelenen güvenlik açıkları, bilgisayar korsanlarının kullanıcının hesabını aşağıdaki şekillerde değiştirmesini mümkün kılmıştır:

·         TikTok hesaplarına erişim sağlamak ve içindeki içeriği manipüle etmek.

·         Zaten yayınlanmakta olan videoları silme

·         Hesaba yasa dışı ve izinsiz videolar yüklemek.

·         Gizli " videoları " Herkese Açık " yapma.

·         E-posta adreslerini, doğum tarihini ve iletişim numarasını içeren, hesaba kaydedilen kullanıcının kişisel bilgilerini ifşa etmek.

Saldırı Yürütme:

Saldırı temelde TikTok'un web sitesinde sunduğu SMS sistemi yardımıyla yapıldı. Bu, kullanıcılardan telefon numaralarını girmelerini ister ve ardından TikTok Uygulamasını indirme bağlantısıyla birlikte kullanıcıların telefon numarasına bir mesaj gönderir.

Saldırganlar daha sonra TikTok'un kendisi adına kullanıcılara mesaj göndermek için sahtekarlığı kullanır . Bu şekilde saldırgan , hedef sistemdeki kötü amaçlı kodu yürütmek için tasarlanmış değiştirilmiş İndirme URL'sini gönderir ve bu şekilde kullanıcının TikTok hesabına erişim kazanır.

Kontrol Noktası Araştırması tarafından yapılan Saldırının Aşamalı Analizi

1. Adım: SMS Link Spoofing

Saldırganlar, metin mesajı göndermek için önce kullanıcının telefon numarasına erişmelidir. Bu saldırgan , HTTP isteğini yakalamak için Burp Suite gibi bir proxy aracı kullanır .

Telefon numarası , SMS'in gönderildiği Mobil parametresi ile alınabilir  ve uygulamayı indirmek için Download_URL SMS'de görünür .

Adım 2: Meşru mesajı yumuşatmak.

Saldırgan daha sonra Download_URL'yi saldırganın saldırı için yazmak istediği bağlantıya değiştirir. Saldırgan, saldırıyı gerçekleştirmeden önce, kullanıcı tarafından tıklandığında uygulanacak kötü amaçlı bağlantıyı tasarlar.

3. Adım: XSS veya Açık Yeniden Yönlendirme.

Kötü amaçlı bağlantıya tıklayan kullanıcı adına JavaScript kodunun çalıştırılabileceği farklı olasılıklar vardır. Bunlar XSS ve Açık Yeniden Yönlendirmedir.

XSS saldırısı, kötü niyetli komut dosyalarının, normalde zararsız ve güvenilir web sitelerine enjekte edildiği bir saldırı türüdür. TikTok'un alt etki alanı https://ads.tiktok.com  XSS saldırılarına karşı savunmasızdır.

Açık yönlendirme rel = ”nofollow” , kullanıcının JavaScript kodunu daha fazla çalıştıran ve kurbanın çerezleriyle TikTok'a istekte bulunan kötü amaçlı bir web sitesine yeniden yönlendirilmesi anlamına gelir.

Adım 4: Saldırganın Ele Geçirilmesi: Kullanıcı Adına İşlem Yapmak.

Siteler Arası istek sahteciliği mekanizmasının olmaması nedeniyle, mağdur adına eylemler gerçekleştirecek JavaScript kodu çalıştırılabilir.

Bu eylem, Video Silme, Video Oluşturma, Takipçi Olma, Herkese Açık hale getirmek için videonun gizliliğini değiştirme ve Hassas verileri ifşa etmeyi içerir.

Özet:

TikTok, eğlenceli bir klip yayınlamak için geniş bir platform olmuştur, ancak bilgisayar korsanları tarafından istismar edilirse tehlikeli bir platform olduğu kanıtlanabilir. Kullanıcılar, sosyal medya platformlarına özel şeyler yüklerken veya kaydederken ortaya çıkan potansiyel risklerin farkında olmalıdır.

TikTok bu güvenlik açığını düzelttiğinden, güvenli gezinme için uygulamanın en son sürümünü kullandığınızdan emin olmalısınız.

 

Yorum Gönder

0 Yorumlar