Эксперты Imperva выявили уязвимость в TikTok, с помощью которой злоумышленники могли собирать персональные данные с устройств пользователей. На момент публикации новости проблема решена, однако жалобы пользователей TikTok по-прежнему поступают.
Баг был основан на механизме обработки входящих сообщений: с помощью PostMessage API в TikTok мошенники могли отправлять через веб-версию соцсети различные сообщения, причём в обход системы безопасности.
Более того, злоумышленники могли иметь доступ к данным о смартфонах пользователей TikTok (конкретно модель, операционная система, браузер и др). Также у них был доступ к истории просмотра видеороликов, к полной информации об учётной записи и истории запросов в поисковой строке.
Напомню, что власти США намереваются заблокировать соцсети в стране, поскольку в дата-центрах у владельца TikTok - ByteDance нашли многочисленные нарушения, а сама компания может собирать данных американских граждан.
Источник
Уникальность