Баги в Android-версии TikTok позволяли захватить аккаунты пользователей

Баги в Android-версии TikTok позволяли захватить аккаунты пользователей

Баги в Android-версии TikTok позволяли захватить аккаунты пользователей

Разработчики TikTok устранили четыре уязвимости в одноимённом Android-приложении. Опасность этих дыр заключалась в возможности взлома аккаунтов пользователей сервиса для создания и просмотра коротких видео.

Изъяны в коде Android-версии TikTok обнаружили сотрудники компании Oversecured, специализирующейся на безопасности мобильных приложений.

Наличие брешей позволяло установленной на устройстве вредоносной программе перехватывать конфиденциальные файлы (например, токены сессии) из TikTok. Завладев такими токенами, злоумышленники могли войти в аккаунт пользователя без необходимости вводить пароль.

При такой атаке вредонос должен был внедрить файл в уязвимое приложение TikTok. Как только пользователь запускает популярный сервис, злонамеренный файл в фоновом режиме оправляет на сервер атакующего токены сессии.

По словам Сергея Тошина, основателя Oversecured, попавший на Android-устройство зловред также мог пользоваться разрешениями TikTok в системе: получать доступ к камере, микрофону, фотографиям и видеозаписям.

Специалисты Oversecured опубликовали технические подробности уязвимостей на своём сайте. А представители TikTok сообщили об устранении проблем безопасности.

Telegram внезапно попросил Premium за цитаты — но, похоже, это баг

В Telegram у части пользователей появилась странная плашка: при попытке оформить цитату мессенджер предлагает оформить подписку Premium. Формально платными в Telegram действительно могут быть некоторые возможности расширенного форматирования и Markdown.

На проблему обратил внимание телеграм-канал «Код Дурова». Но обычные цитаты к премиальным функциям относиться не должны.

Поэтому новая плашка выглядит не как очередная монетизация всего живого, а скорее как техническая ошибка.

 

 

Тем более ограничение уже удалось обойти. Достаточно нажать «Сбросить и отправить» — Send Without Formatting. После этого предупреждение исчезает, а сама цитата в сообщении остаётся.

То есть Telegram пока как будто говорит: «Хотите цитату — платите». Но если нажать соседнюю кнопку, выясняется, что платить всё-таки не обязательно.

Вероятнее всего, речь идёт о баге интерфейса или проверки форматирования, который исправят в одном из следующих обновлений. Официальных пояснений от Telegram на момент публикации нет.

Пока же пользователям доступен простой обходной путь: сбросить форматирование перед отправкой и сохранить цитату без Premium. Монетизация не удалась, по крайней мере, в этот раз.

RSS: Новости на портале Anti-Malware.ru