Vlákno názorů k článku Postřehy z bezpečnosti: spolupráce čínských skupin a zero-day v TikToku od Glasny - Ten "ťikťok jde hacknout" jedním kliknutím obět i...
-
Ten "ťikťok jde hacknout" jedním kliknutím obět i nebo jedním kliknutím hackera?
A jde o chybu protokolu, serverové části, nebo OS runtime nebo aplikace?
Dovedu si představit, že zmíněné souvisejíci hack na jedno kliknutí androidového klienta by byla chyba v aplikaci současně s chybou OS
, zatímco poslání zprávy může být "backdůrek autora ťikťoku" (i když pokud ˇtikťok byl vypuštěn pod "dohledem vládní spolupráce", takto může být prolezlé skrz na skrz a kliknutí může jen zcela zamýšleně správně spustit ,to co čínští autoři poctivě naprogramovali)
Co myslíte, tuší to Alenka v ří$$i Financí?
-
V odkazované zprávě (pod tím linkem v textu, odkazů je více) se píše z technického hlediska jen toto:
> The malware is transmitted through DMs [asi Direct Message] within the TikTok app, and does not require a download, click, response or any other act from users beyond opening a message. The hacked accounts do not appear to be posting content, and it’s unclear how many have been affected.
Moje idea je tato: Po rozbití novějšího (ale už pár let starého) telefonu jsem ze šuplíku vytáhl předchozí a budu ho používat, dokud tam pojede firemní Teams (některé aplikace ještě jedou, jiné mám přes PWA - webová verze, ale umí posílat notifikace, i když nemám otevřenou danou stránku, ani webový prohlížeč jako takový; banka přes potvrzovací SMS, ale AirBank je zatím nezpoplatnila). Takže velice přesně vidím, tedy viiiiiidíííííííímmmmmmm, jestli je aplikace udělaná ve webových technologiíh.
TikTok není výjimka, takže si tyhle bezpečnostní díry představte jako díry ve webové aplikaci, např. XSS útoky. Tzn. zobrazení soukromé zprávy zobrazí nějaký HTML balast (resp. dnes JSON, ale taky s bordelem), do kterého útočník protlačil nějaký skript. Kidně "jen" volání nějaké API URL TikTok backendu (server), ale v té URL bude security token vás jako uživatele, tj. backend příslušný příkaz bere jako autorizovaný (např. "odeslal jste" další zprávy - spam).
18. 6. 2024, 17:02 editováno autorem komentáře
ČLÁNKY DO MAILU