Názor k článku Postřehy z bezpečnosti: spolupráce čínských skupin a zero-day v TikToku od Ladis - V odkazované zprávě (pod tím linkem v textu,...

V odkazované zprávě (pod tím linkem v textu, odkazů je více) se píše z technického hlediska jen toto:

> The malware is transmitted through DMs [asi Direct Message] within the TikTok app, and does not require a download, click, response or any other act from users beyond opening a message. The hacked accounts do not appear to be posting content, and it’s unclear how many have been affected.

Moje idea je tato: Po rozbití novějšího (ale už pár let starého) telefonu jsem ze šuplíku vytáhl předchozí a budu ho používat, dokud tam pojede firemní Teams (některé aplikace ještě jedou, jiné mám přes PWA - webová verze, ale umí posílat notifikace, i když nemám otevřenou danou stránku, ani webový prohlížeč jako takový; banka přes potvrzovací SMS, ale AirBank je zatím nezpoplatnila). Takže velice přesně vidím, tedy viiiiiidííííí­ííímmmmmmm, jestli je aplikace udělaná ve webových technologiíh.

TikTok není výjimka, takže si tyhle bezpečnostní díry představte jako díry ve webové aplikaci, např. XSS útoky. Tzn. zobrazení soukromé zprávy zobrazí nějaký HTML balast (resp. dnes JSON, ale taky s bordelem), do kterého útočník protlačil nějaký skript. Kidně "jen" volání nějaké API URL TikTok backendu (server), ale v té URL bude security token vás jako uživatele, tj. backend příslušný příkaz bere jako autorizovaný (např. "odeslal jste" další zprávy - spam).

18. 6. 2024, 17:02 editováno autorem komentáře