Το TikTok αντιμετώπισε δύο ευπάθειες που θα μπορούσαν να επιτρέψουν στους εισβολείς να αναλάβουν λογαριασμούς με ένα μόνο κλικ όταν συνδέονται μαζί με χρήστες που έχουν εγγραφεί μέσω εφαρμογών τρίτων.
Η πλατφόρμα κοινωνικών μέσων που ανήκει στην ByteDance που εδρεύει στο Πεκίνο χρησιμοποιείται για την κοινή χρήση βίντεο looping μικρού μήκους (3 έως 60 δευτερολέπτων).
Η εφαρμογή Android της TikTok έχει επί του παρόντος πάνω από 1 δισεκατομμύριο installs σύμφωνα με τα επίσημα στατιστικά στοιχεία του Google Play Store και τον Απρίλιο του 2020 ξεπέρασε τα 2 δισεκατομμύρια installs βάσει των εκτιμήσεων της Sensor Tower Store Intelligence.
Ο γερμανός κυνηγός σφαλμάτων Muhammed Taskiran ανακάλυψε ένα σφάλμα ασφάλειας cross-site scripting (XSS) σε μια παράμετρο URL του TikTok που αντικατοπτρίζει την αξία της χωρίς σωστό sanitization (data sanitization είναι η διαδικασία διασφάλισης ότι τα δεδομένα συμμορφώνονται με τις απαιτήσεις του υποσυστήματος στο οποίο διαβιβάζονται).
Ο Taskiran βρήκε το ανακλώμενο XSS που θα μπορούσε επίσης να οδηγήσει σε data exfiltration, ενώ το fuzz – το fuzz testing είναι μια αυτοματοποιημένη τεχνική δοκιμών λογισμικού – τεστάρει τα domains www.tiktok.com και m.tiktok.com της εταιρείας.
Βρήκε επίσης ένα ευάλωτο endpoint API TikTok σε επιθέσεις cross-site request forgery (CSRF) που επέτρεπαν την αλλαγή των κωδικών πρόσβασης λογαριασμών για χρήστες που έχουν εγγραφεί χρησιμοποιώντας εφαρμογές τρίτων.
“Το endpoint μου επέτρεψε να ορίσω έναν νέο κωδικό πρόσβασης σε λογαριασμούς χρηστών που είχαν χρησιμοποιήσει εφαρμογές τρίτων για εγγραφή”, δήλωσε ο Taskiran.
«Συνδύασα και τις δύο ευπάθειες δημιουργώντας ένα απλό payload JavaScript – ενεργοποιώντας το CSRF – το οποίο έχω εισάγει στην παράμετρο ευάλωτης διεύθυνσης URL από πριν, για να δημιουργήσω μια “ανάληψη λογαριασμού με ένα κλικ”.»
Ο Taskiran ανέφερε τις ευπάθειες στο TikTok στις 26 Αυγούστου 2020, με την εταιρεία να επιλύει τα ζητήματα και να επιβραβεύει τον κυνηγό των σφαλμάτων με το ποσό των 3.860 $ στις 18 Σεπτεμβρίου.
Η TikTok αντιμετώπισε επίσης μια ευπάθεια ασφαλείας στην υποδομή της, επιτρέποντας σε πιθανούς εισβολείς να εισβάλλουν σε λογαριασμούς για να χειραγωγήσουν τα βίντεο των χρηστών και να κλέψουν τις πληροφορίες τους.
Τα ζητήματα ασφαλείας αποκαλύφθηκαν στην ByteDance από τους ερευνητές του Check Point στα τέλη Νοεμβρίου 2019, με την εταιρεία να διορθώνει τα σφάλματα εντός ενός μήνα.
Οι εισβολείς θα μπορούσαν να είχαν χρησιμοποιήσει το σύστημα SMS του TikTok για να εκμεταλλευτούν τις ευπάθειες για να ανεβάσουν μη εξουσιοδοτημένα βίντεο, να διαγράψουν ή να μετακινήσουν τα βίντεο των χρηστών από ιδιωτικά σε δημόσια και να κλέψουν ευαίσθητα προσωπικά δεδομένα.
“Η TikTok έχει δεσμευτεί να προστατεύει τα δεδομένα των χρηστών”, δήλωνε ο μηχανικός ασφαλείας του TikTok Luke Deshotels εκείνη την εποχή. “Όπως πολλοί οργανισμοί, ενθαρρύνουμε τους ερευνητές ασφαλείας να μας αποκαλύψουν ιδιωτικά τα τρωτά σημεία zero-day που μπορεί να ανακαλύπτουν”.
