Уязвимости TikTok позволили хакерам удалять видео, красть информацию о пользователе
Были найдены новые Уязимости в TikTok которые были опасны для обычного пользователя.
Исследователи безопасности обнаружили несколько уязвимостей в инфраструктуре TikTok, которые позволили потенциальным злоумышленникам взломать учетные записи для манипулирования видео пользователей и красть их личную информацию.
TikTok — это социальная медиа-платформа, принадлежащая пекинской компании ByteDance, с офисами по всему миру и серверами в разных странах, где работают ее приложения для iOS и Android, сеть TikTok используется для обмена короткими зацикленными мобильными видеороликами продолжительностью от 3 до 60 секунд.
Android-приложение платформы в настоящее время насчитывает более 500 000 000 установок в соответствии со статистикой Google Play Store и превысило отметку в 1,5 миллиарда установок на всех мобильных платформах в ноябре 2019 года, согласно оценкам Sensor Tower Store Intelligence.
Приложения TikTok и его серверная часть были уязвимы для атак, как утверждают исследователи Check Point в отчете, представленном Bleeping Computer ранее на этой неделе.
Вопросы безопасности были раскрыты ByteDance в конце ноября, и компания TikTok исправила уязвимости в течение одного месяца.
«Данные широко распространены, но их утечка становится эпидемией, и наши последние исследования показывают, что наиболее популярные приложения все еще находятся в опасности», — сказал руководитель отдела исследования уязвимостей продукта Check Point, Одед Вануну (Oded Vanunu).
«Приложения для социальных сетей c большой вероятностью подвергнуты атакам через уязвимости, так как они являются хорошим источником для личных данных, которые могут быть использованы хакерами в своих целях».
Уязвимости TikTok в системе SMS рассылок
Система SMS TikTok позволила исследовательской группе Check Point манипулировать данными учетной записи, добавляя и удаляя видео, демонстрировать проблемы нарушения конфиденциальности путем изменения настроек конфиденциальности видео с личных на публичные, а также эксфильтровать личные данные пользователя, включая полное имя, адрес электронной почты и день рождения.
Как показывает Check Point Research, злоумышленники могли использовать эти уязвимости с помощью системы SMS TikTok таких как:
• Загружать не авторизованные видео и удалять видео пользователей;
• Переместить видео пользователей из частного в общедоступное;
• похищать конфиденциальные личные данные.
Чтобы иметь возможность выполнять эти злонамеренные действия, хакеры могли отправлять ссылки на скачивание приложения на телефонный номер любого пользователя с помощью текстовых сообщений, тем самым уязвимости TikTok позволяли им внедрять и выполнять вредоносный код.
Кроме того, злоумышленники с помошью уязвимости TikTok могли перенаправлять пользователей TikTok на веб-сервер, которым они управляют, используя ту же тактику, что позволяет хакерам отправлять нежелательные запросы от имени своих жертв.
Check Point Research также обнаружил, что потенциальные злоумышленники могли использовать такую же технику для перенаправления жертвы на вредоносный веб-сайт под видом TikTok.com.
Перенаправление открывает возможность выполнения атак таких как: подделка межсайтовых запросов (CSRF), межсайтового скриптинга (XSS) и раскрытия конфиденциальных данных без согласия пользователя».
Люк Десотелс (Luke Deshotels) — из группы безопасности TikTok сказал, что «TikTok стремится защищать данные пользователей. Как и многие организации, мы призываем ответственных исследователей безопасности в частном порядке раскрывать нам уязвимости TikTok так называемые как 0-day (Угроза нулевого дня — термин, обозначающий не устранённые уязвимости, а также вредоносные программы).
— Прочитайте как недавно Starbaks случайно выложил API в Репозиторий GitHub.
Перед публичным раскрытием CheckPoint согласилась, что все обнаруженные проблемы были исправлены в последней версии app TikTok. Мы надеемся, что это успешное совместное решение проблем с безопасностью, будет способствовать будущему сотрудничеству с исследователями безопасности сказали они.
TikTok в данный момент запрещен на военных телефонах в США
Раскрытие информации в Check Point Research происходит сразу после того, как военные подразделения США в том числе армия, флот, морская пехота и ВВС, запретили приложение из за уязвимости TikTok которые были на правительственных смартфонах солдат.
Новое руководство рекомендует всем сотрудникам Министерства обороны также остерегаться и других загружаемых приложений, следить за своими телефонами на наличие необычных и нежелательных, смс и т.д. Немедленно удалять их и удалить приложение из за недавно найденых уязвимостей TikTok, чтобы обезопасить любое раскрытие личной информации.
Решение армии последовало за письмом, направленным сенаторами США Чаком Шумером и Томом Коттоном в октябре «исполняющему обязанности директора национальной разведки, с просьбой оценить риски для национальной безопасности, создаваемые приложением TikTok и другими китайскими платформами и приложениями которые касаются личного контента, работающими на терретории США».
Шумер также опубликовал заявление после того, как агентство Reuters сообщило, что правительство США начало расследование в отношении приобретения владельцами TikTok ByteDance приложения для социальных сетей США Musical.ly с ноября 2017 года в отношении потенциальных угроз национальной безопасности.
В своем заявлении Шумер сказал, что исследование национальной безопасности в TikTok подтверждает озабоченность сенаторов тем, что «такие приложения, как TikTok, могут представлять серьезный риск для миллионов американцев и заслуживают более тщательного изучения».
Ванесса Паппас, генеральный директор TikTok в США, отреагировала на эти обвинения многочисленными публикациями в отделе новостей компании, заявив, что TikTok хранит «все пользовательские данные TikTok в США а также резервирует данные на сервера в Сингапуре.
Наши центры обработки данных расположены полностью за пределами Китая, и ни одна из наших данных не подпадает под действие китайского законодательства — сказала она в конце октября.
Месяц спустя Паппас подтвердил, что «дата-центры TikTok расположены полностью за пределами Китая». Она также заявила, что у компании есть «специальная техническая группа, ориентированная на соблюдение надежных политик кибер безопасности, а также практики конфиденциальности и безопасности данных.
