Sadece 1 SMS Göndererek Tiktok Hesabı Hackleniyor

2019’da en çok indirilen 3. uygulama olan TikTok , kullanıcıların gizliliği üzerinde yoğun bir inceleme altında, siyasi olarak tartışmalı içeriği ve ulusal güvenlik gerekçeleri ile bazı ülkelerde yasaklanmakla  birlikte, milyarlarca TikTok kullanıcısının güvenliği şimdi tehdit altında.

Ünlü Çinli viral video paylaşım uygulaması, uzaktan saldırganların sadece hedeflenen kurbanların cep telefonu numarasını bilerek herhangi bir kullanıcı hesabını ele geçirmesine izin verebilecek potansiyel olarak tehlikeli güvenlik açıkları içeriyordu.

Check Point’teki siber güvenlik araştırmacıları, birden fazla zincirleme güvenlik açığının saldırganların izinsiz olarak uzaktan kötü amaçlı kod yürütmelerine ve mağdurlar adına istenmeyen eylemler gerçekleştirmelerine izin verdiğini ortaya koydu.

Bildirilen güvenlik açıkları, SMS bağlantısı sahtekarlığı, açık yönlendirme ve siteler arası komut dosyası oluşturma (XSS) gibi düşük önem derecesine sahip sorunları içerdiğinde, bir uzak saldırganın aşağıdakileri içeren yüksek etkili saldırılar gerçekleştirmesine izin verebilir:

  • Kurbanların TikTok profilinden videoları silme,
  • Kurbanların TikTok profiline yetkisiz videolar yükleme,
  • Gizli  videoları herkese açık hale getirme,
  • Hesapta kaydedilen özel adresler ve e-postalar gibi kişisel bilgileri gösterme.

Saldırı, kullanıcıların video paylaşım uygulamasını indirmek için bir bağlantıyla telefon numaralarına mesaj göndermelerine izin vermek için TikTok’un web sitesinde sunduğu güvensiz bir SMS sisteminden yararlanıyor.

Araştırmacılara göre, bir saldırgan TikTok adına herhangi bir telefon numarasına, önceden yüklenmiş TikTok uygulamasıyla hedeflenmiş bir cihazda kod yürütmek için tasarlanmış kötü amaçlı bir sayfayı indirme URL’si ile bir SMS mesajı gönderebilir.

tiktok hesabı hackleme teknikleri

 

tiktok hesabı kesmek

Açık yönlendirme ve siteler arası komut dosyası oluşturma sorunları ile birleştirildiğinde, saldırı, bilgisayar korsanlarının TikTok sunucusu tarafından SMS ile gönderilen video gösterisinde gösterildiği gibi kurbanlar adına JavaScript kodunu çalıştırmalarına izin verebilir. 

Teknik yaygın olarak siteler arası istek sahteciliği saldırısı olarak bilinir, burada saldırganlar kimliği doğrulanmış kullanıcıları istenmeyen bir eylem gerçekleştirmeye kandırırlar.

Araştırmacılar,  bugün yayınlanan bir blog yayınında , “Siteler Arası istek sahteciliği önleme mekanizmasının bulunmamasıyla, JavaScript kodunu yürütebildiğimizi ve kurban adına eylemler gerçekleştirebileceğimizi fark ettik.” dedi .

“Kullanıcıyı kötü amaçlı bir web sitesine yönlendirmek, JavaScript kodunu yürütecek ve kurbanların çerezleriyle Tiktok’a talepte bulunacaktır.”

Check Point, bu güvenlik açıklarını TikTok’un geliştiricisine Kasım 2019’un sonlarında kullanıcılarını bilgisayar korsanlarından korumak için bir ay içinde mobil uygulamasının yamalı bir sürümünü yayımlayan ByteDance’a sorumlu bir şekilde bildirdi.

Android ve iOS için resmi uygulama mağazalarında bulunan en son TikTok sürümünü çalıştırmıyorsanız,  en kısa zamanda güncellemeniz önerilir.

Tags:

About The Author

9 Comments

  1. Ceren 18 Nisan 2020 Yanıtla
    • Cemal Taner 19 Nisan 2020 Yanıtla
  2. Ceren 18 Nisan 2020 Yanıtla
  3. Ceren 18 Nisan 2020 Yanıtla
  4. Ceren 18 Nisan 2020 Yanıtla
  5. Cansu 29 Nisan 2020 Yanıtla
  6. mehmet 2 Temmuz 2020 Yanıtla

Reply