חוקרים זיהו פרצות אבטחה חמורות באפליקציית TikTok
הפרצות אפשרו לבצע מגוון פעולות בחשבונות המשתמשים, להסיר ולשנות הגדרות פרטיות של סרטונים ואף לגנוב מידע אישי שהמשתמשים שיתפו בהרשמה לאפליקציה
- טיקטוק מחפשת לצאת מסין כדי לרצות את האמריקאים
- אינסטגרם מעתיקה את טיקטוק עם Reels
- חביבת הילדים טיקטוק יושבת בכיס של ממשלת סין. האם יש סיבה לדאגה?
טיקטוק, אשר בבעלות החברה הסינית בייטדאנס, היא אפליקציה פופולרית ביותר שלה למעלה ממיליארד משתמשים ב-150 מדינות. היא עקפה את אינסטגרם וסנאפצ'ט במדדים רבים ובנובמבר האחרון הפכה לאפליקציה עם הכי הרבה הורדות בחנויות האפליקציות השונות (למעלה מ-1.5 מיליארד הורדות). ואולם למרות הפופולריות שלה ארה"ב הזהירה לאחרונה מפני השימוש בה והפנטגון אף אסר על חיילי צבא ארה"ב מלהורידה לסמארטפונים שלהם.
אך למרות זאת האפליקציה מוכרת היטב בקרב ילדים ובני הנוער אשר מפרסמים בה סרטונים קצרים, עד 60 שניות. היא מאפשרת, בין היתר, להוסיף מוזיקת רקע לסרטונים, לערוך את הסרטונים ולהוסיף אפקטים, ומתוקף כך היא מאחסנת כמויות עצומות של סרטונים ובכללותם תכנים רגישים של המשתמשים.
חוקרי הגנת הסייבר של צ'ק פוינט שחשפו את הפרצות, הסבירו שכדי לנצל אותן, על התוקף לשלוח הודעה עם לינק זדוני מתוך מערכת משלוח ההודעות של האפליקציה. הקלקה על הלינק איפשרה לתוקף להגיע לחשבון של הקורבן ולבצע שינויים בתוכן הקיים, ובכלל זאת מחיקת סרטונים, העלאת סרטונים לא מאושרים על ידי הקורבן והפיכת סרטונים פרטיים לפומביים. כמו כן, החוקרים גילו שאתר צדדי של האפליקציה https://ads.tiktok.com היה חשוף למתקפות שאפשרו לתוקפים לדלות פרטים אישיים אותם הקלידו משתמשי האפליקציה בעת ההרשמה, ובכלל זאת שמות, כתובות ותאריכי ימי הולדת.
צ'ק פוינט הודיעה לטיק טוק על ממצאיה וטיקטוק תיקנה את החולשות האמורות. ד"ר לוק דשוטלס (Luke Deshotels) מצוות אבטחת המידע של טיק טוק מסר: "טיקטוק מחוייבת להגנה על המידע שיש בה. בדומה לארגונים רבים אחרים, אנו מעודדים חוקרי אבטחת מידע להעביר לידינו את ממצאיהם ביחס לחולשות חדשות".
עודד ואנונו, ראש מחלקת חולשות מוצרים בצ'ק פוינט שעמד בראש המחקר: "פירצות אבטחה שמובילות לזליגת מידע רגיש הן תופעה שהולכת וצוברת תאוצה. מרבית המשתמשים באפליקציות הללו יוצאים מנקודת הנחה שהאפליקציות הפופולריות הן בטוחות במיוחד, אך האקרים משקיעים משאבים ומאמצים רבים בכדי לחדור אליהן וזאת בשל המידע האישי העצום שקיים בהן על כל משתמש ומשתמשת. המחקרים שלנו מוכיחים שגם האפליקציות הכי פופולריות בעולם נמצאות תחת סיכון".