Los parches de TikTok reflejaron un error XSS, un exploit de adquisición de cuenta con un solo clic



Sale el CEO de TikTok, Kevin Mayar Ver ahora TikTok corrigió una falla de seguridad XSS reflejada y un error que llevó a la toma de control de la cuenta que afecta el dominio web de la empresa. Informada a través de la plataforma de recompensas por errores HackerOne por el investigador Muhammed "milly" Taskiran, la primera vulnerabilidad se relaciona con un parámetro de URL en el dominio tiktok.com que no fue desinfectado adecuadamente.
Ver también: Qué significa el gran negocio de TikTok para la nube y el comercio electrónico: TikTok Global creado con Oracle, Walmart posee el 20% Mientras investigaba la plataforma, el investigador de recompensas de errores descubrió que este problema podría aprovecharse para lograr secuencias de comandos entre sitios (XSS) reflejadas, lo que podría llevar a la ejecución de código malicioso en la sesión del navegador del usuario. Además, Taskiran encontró un punto final vulnerable a la falsificación de solicitudes entre sitios (CSRF), un ataque en el que los actores de amenazas pueden engañar a los usuarios para que envíen acciones en su nombre a una aplicación web como un usuario confiable. CNET: ¿Cuál es la mejor VPN barata? Encontramos 3 buenas opciones Taskiran pudo crear una carga útil de JavaScript simple que combinaba ambas vulnerabilidades.
El script pudo desencadenar el problema de CSRF y luego, si se inyectaba en el parámetro de URL vulnerable, daría lugar a una toma de control de la cuenta con un solo clic. "El punto final me permitió establecer una nueva contraseña en las cuentas que habían utilizado aplicaciones de terceros para registrarse", dijo el cazarrecompensas de errores. TechRepublic: es hora de que los bancos reconsideren cómo protegen la información de los clientes TikTok recibió por primera vez un informe que describía las vulnerabilidades el 26 de agosto.
Para el 3 de septiembre, TikTok había evaluado los problemas de seguridad y le había asignado una puntuación de gravedad de 8.2. Los errores fueron corregidos el 18 de septiembre.
Taskiran recibió una recompensa por error de $ 3.860. ZDNet se ha comunicado con TikTok y se actualizará cuando tengamos noticias. La cobertura anterior y relacionada ByteDance no permitirá que el algoritmo de TikTok sea parte de una venta; Microsoft es rechazado como pretendiente TikTok de China prohibido por el ejército de EE. UU. En medio de preocupaciones de seguridad: informe Microsoft está fuera de carrera para comprar TikTok a medida que se acerca la prohibición de EE. UU. ¿Tienes un consejo? Póngase en contacto de forma segura a través de WhatsApp | Señal al +447713 025 499, o más en Keybase: charlie0 Mostrar comentarios Revise nuestros términos de servicio para completar su suscripción al boletín.
Al registrarse, acepta los Términos de uso y reconoce las prácticas de datos descritas en la Política de privacidad. También recibirá una suscripción gratuita a los boletines de noticias Tech Update Today y ZDNet Announcement de ZDNet. Puede cancelar su suscripción a estos boletines en cualquier momento.
Acepta recibir actualizaciones, alertas y promociones de la familia de empresas CBS, incluidos los boletines de noticias Tech Update Today y ZDNet Announcement de ZDNet. Puede darse de baja en cualquier momento. Al suscribirse, acepta recibir el (los) boletín (s) seleccionado (s) de los cuales puede darse de baja en cualquier momento.
También acepta los Términos de uso y reconoce las prácticas de recopilación y uso de datos descritas en nuestra Política de privacidad. Seguir Boletines pVer pVer.

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

Una lista de conferencias de seguridad canceladas o pospuestas debido a preocupaciones de coronavirus

Resim
Getty Images / iStockphoto A medida que las conferencias tecnológicas y las ferias comerciales se cancelan, posponen o se vuelven virtuales de izquierda a derecha, muchos eventos de seguridad cibernética se enfrentan a un destino similar, todo debido a problemas de salud causados ​​por el nuevo coronavirus conocido como COVID-19. Los profesionales de la seguridad cibernética que no pudieron asistir a algunas de sus conferencias favoritas antes, principalmente debido a razones de tiempo, viaje o salud, pueden descubrir que algunos eventos ahora se transmiten y pueden ver sesiones desde la comodidad o su hogar o espacio de trabajo. La siguiente lista abarca una lista de los próximos eventos y su estado respectivo. Las conferencias que no figuran en la lista están programadas para continuar según lo planeado. La lista incluye solo cancelaciones, conferencias pospuestas o aquellos que anunciaron planes para transmitir su contenido. fuerte - 9 de marzo a 11 de marzo, Zurich - Estado ac...
Devamı

Las tasas de parches OEM de Android han mejorado, con Nokia y Google liderando la carga

Resim
Imagen: Dmitry Bayer Las actualizaciones de seguridad están llegando a los usuarios de Android de manera más rápida y confiable que en años anteriores. En una investigación publicada este mes, la firma alemana de ciberseguridad SRLabs dijo que la brecha del parche de Android se ha reducido de 44 días en 2018 a 38 días hoy. El término retraso de parche de Android, o brecha de parche, se refiere al tiempo desde que Google publica formalmente una actualización de seguridad en su sitio web, y hasta que un proveedor de teléfonos inteligentes (OEM o fabricantes de equipos originales) integra el parche en su firmware. SRLabs dice que recopiló información sobre retrasos en los parches utilizando su aplicación de escáner de seguridad SnoopSnitch instalada en más de 500,000 teléfonos inteligentes Android. Si bien la compañía informó que el retraso del parche se ha reducido en un 15% en los últimos dos años, la brecha del parche varió enormemente entre los proveedores de teléfonos inteligente...
Devamı