Badacze z Check Point odkryli cztery poważne błędy w zabezpieczeniach Tik Tok, które narażają dane użytkowników na niebezpieczeństwo
Była to najpopularniejsza aplikacja 2019 roku, z pewnością będzie w 2020, ma ponad 1 miliard subskrybentów i jest jedyną, która obecnie jest w stanie dać popalić grupie Facebooka. Ale daleko jej do ideału. Badacze z Check Point Research znaleźli cztery poważne luki w aplikacji TikTok i kilka problemów z oficjalną stroną internetową.
ByteDance, chińska firma, która rozwija TikTok, podchwyciła raporty Check Point i załatała dziury w aplikacji, wydając aktualizację, a także naprawiła problemy ze stroną internetową. Każdy, kto korzysta z TikTok, dlatego dobrze byłoby zaktualizować aplikację natychmiast, ponieważ w przeciwnym razie ryzyko jest dość wysokie: TikTok, w rzeczywistości, przed aktualizacją mógł być atakowany przez hakerów za pomocą prostego spoofing SMS, który przenosił użytkownika do złośliwej strony internetowej naśladującej stronę główną TikTok.
Cztery luki w aplikacji TikTok
Według Alona Boxinera, Erana Vaknina, Alexeya Volodina, Dikli Bardy i Romana Zaikina, pięciu badaczy, którzy znaleźli cztery poważne błędy w aplikacji TikTok, kilka prostych i niezbyt skomplikowanych kroków może doprowadzić do przejęcia konta TikTok, usunięcia filmów i przesłania kolejnych bez zgody użytkownika, upublicznienia prywatnych i ukrytych filmów oraz ujawnienia informacji osobistych powiązanych z kontem, takich jak prywatne adresy e-mail.
TikTok: Uważaj na SMS-y
Wszystko, co trzeba zrobić, aby włamać się na konto TikTok, to wysłać SMS-a do ofiary, zachęcając ją do pobrania aplikacji i obejrzenia filmu. Funkcja ta jest jedną z metod wybranych przez ByteDance, aby zaprosić nowych użytkowników do korzystania z usługi, a na oficjalnej stronie TikTok znajduje się specjalne pole do wysyłania filmów tekstowych. Osoby, które otrzymują takie SMS-y, nie są więc zwykle zaniepokojone. Check Point odkrył jednak, że możliwe było sfałszowanie wiadomości SMS tak, aby wyglądały na pochodzące z TikTok. Po kliknięciu na fałszywy link, haker mógł uzyskać dostęp do części konta TikTok. Check Point odkrył również, że infrastruktura TikTok pozwalała hakerowi na przekierowanie już zaatakowanego użytkownika na złośliwą stronę internetową, która wyglądała jak strona główna TikTok.
Odpowiedź TikTok
Check Point odkrył cztery poważne błędy w zabezpieczeniach w TikTok w listopadzie 2019 roku, ale utrzymywał je w tajemnicy, dopóki firma nie była w stanie załatać swojej aplikacji i strony internetowej. "TikTok jest zaangażowany w ochronę danych użytkowników", wyjaśniła firma w notatce, "Podobnie jak wiele organizacji, zachęcamy badaczy bezpieczeństwa do prywatnego ujawniania nam luk zero-day. Przed upublicznieniem informacji, Check Point potwierdził, że wszystkie zgłoszone błędy zostały poprawione w najnowszej wersji naszej aplikacji. Mamy nadzieję, że to udane ujawnienie zachęci do przyszłej współpracy z naukowcami zajmującymi się bezpieczeństwem cybernetycznym.