Το TikTok ξεκίνησε ένα πρόγραμμα bug bounty μετά την ανακάλυψη διαφόρων τρωτών σημείων στην εφαρμογή του. Αυτή η προσπάθεια φαίνεται να έχει καλά αποτελέσματα, καθώς πρόσφατα το TikTok διόρθωσε ένα σοβαρό ελάττωμα που ανακάλυψε η εταιρεία ασφάλειας Check Point Research. Η ευπάθεια θα επέτρεπε στους χάκερ να χρησιμοποιούν τη λειτουργία “Friend Finder” της εφαρμογής για να κλέψουν διάφορες λεπτομέρειες από τα προφίλ και τους τηλεφωνικούς αριθμούς των χρηστών και, στη συνέχεια, να δημιουργήσουν μια βάση δεδομένων με πληροφορίες που θα μπορούσαν να χρησιμοποιηθούν για κακόβουλες επιθέσεις.
Οι ερευνητές της Check Point παρατήρησαν ένα ελάττωμα στον τρόπο με τον οποίο οι servers του TikTok επιβεβαίωναν ότι τα αιτήματα Friend Finder προέρχονταν από νόμιμα τηλέφωνα. Χρησιμοποιώντας ένα μοναδικό αναγνωριστικό συσκευής για κάθε τηλέφωνο χρήστη, η εφαρμογή δημιουργεί ένα user token και ένα cookie περιόδου σύνδεσης. Ωστόσο, η ομάδα διαπίστωσε ότι τα cookies ήταν έγκυρα για περίπου 60 ημέρες, επιτρέποντάς τους να χρησιμοποιηθούν σε εικονικές συσκευές αντί για φυσικά τηλέφωνα.
Η ευπάθεια θα μπορούσε να επιτρέψει σε έναν χάκερ να δημιουργήσει μια βάση δεδομένων με στοιχεία χρηστών και τους αντίστοιχους τηλεφωνικούς αριθμούς τους. Ένας χάκερ με αυτόν τον βαθμό ευαίσθητων πληροφοριών θα μπορούσε να εκτελέσει μια σειρά από κακόβουλες δραστηριότητες, όπως phishing καμπάνιες ή άλλες εγκληματικές ενέργειες. Το μήνυμα των ερευνητών προς τους χρήστες του TikTok είναι ότι πρέπει να μοιράζονται τις λιγότερες δυνατές πληροφορίες από τα προσωπικά τους δεδομένα. Επίσης, πρέπει να ενημερώνουν το λειτουργικό τους σύστημα και τις εφαρμογές τους στις πιο πρόσφατες εκδόσεις.
Χρησιμοποιώντας ορισμένα εργαλεία hacking, θα μπορούσαν να παρακάμψουν το “HTTP message signing” του TikTok, να αλλάξουν τη λειτουργία για να αποκτήσουν επαφές και να υπογράψουν ξανά το αίτημα. Επειδή όλα αυτά έγιναν σε μια εικονική συσκευή, η διαδικασία θα μπορούσε να αυτοματοποιηθεί. Αυτό επέτρεψε στους ερευνητές να δημιουργήσουν μια βάση δεδομένων με «τηλεφωνικούς αριθμούς, ψευδώνυμα, μοναδικά αναγνωριστικά χρήστη και ρυθμίσεις, όπως και εάν ένας χρήστης είναι follower ή εάν το προφίλ ενός χρήστη είναι ιδιωτικό», σύμφωνα με την Check Point.
Η Check Point είπε ότι ανακάλυψε την ευπάθεια τους τελευταίους μήνες. “Η Check Point Research ενημέρωσε τους developers και τις ομάδες ασφαλείας μας σχετικά με αυτό το ζήτημα και αναπτύχθηκε υπεύθυνα μια λύση για να διασφαλιστεί ότι οι χρήστες μπορούν να συνεχίσουν με ασφάλεια τη χρήση της εφαρμογής TikTok”, δήλωσε η εταιρεία.
Πηγή πληροφοριών: engadget.com
