Check Point-forskare har upptäckt fyra allvarliga säkerhetsbrister i Tik Tok som äventyrar användardata
Den var den populäraste appen 2019, kommer säkert att vara det 2020, har över 1 miljard prenumeranter och är för närvarande den enda appen som kan skrämma Facebook-gruppen. Men det är långt ifrån perfekt. Forskare från Check Point Research hittade fyra allvarliga sårbarheter i TikTok-appen och några problem på den officiella webbplatsen.
ByteDance, det kinesiska företag som utvecklar TikTok, tog fasta på Check Points rapporter och täppte till bristerna i appen genom att släppa en uppdatering, och löste även problemen på webbplatsen. Alla som använder TikTok gör därför klokt i att uppdatera appen omedelbart, eftersom riskerna annars är ganska stora: TikTok kunde före uppdateringen angripas av hackare med ett enkelt sms som förfalskade en webbplats och förde användaren till en skadlig webbplats som efterliknade TikToks hemsida.
De fyra TikTok-sårbarheterna
Enligt Alon Boxiner, Eran Vaknin, Alexey Volodin, Dikla Barda och Roman Zaikin, de fem forskare som hittade de fyra allvarliga felen i TikTok-appen, kan man med några få enkla och inte så komplicerade steg ta över ett TikTok-konto, radera videor och ladda upp fler utan användarens tillåtelse, offentliggöra privata och dolda videor och avslöja personlig information som är kopplad till kontot, till exempel privata e-postadresser.
TikTok: Akta dig för SMS
Allt du behöver göra för att hacka ett TikTok-konto är att skicka ett SMS till offret och uppmana dem att ladda ner appen och titta på en video. Den här funktionen är en av de metoder som ByteDance har valt för att bjuda in nya användare till tjänsten, och det finns ett särskilt fält på den officiella TikTok-webbplatsen för att skicka videor via sms. De som får ett sådant sms blir därför vanligtvis inte oroliga. Check Point upptäckte dock att det var möjligt att förfalska SMS-meddelanden så att de såg ut att komma från TikTok. När användaren klickade på den falska länken kunde en hackare få tillgång till delar av TikTok-kontot. Check Point upptäckte också att TikToks infrastruktur gjorde det möjligt för en hackare att omdirigera en redan angripen användare till en skadlig webbplats som såg ut som TikToks hemsida.
TikToks svar
Check Point upptäckte de fyra allvarliga säkerhetsbristerna hos TikTok i november 2019, men höll dem hemliga tills företaget kunde lappa sin app och webbplats. "TikTok har åtagit sig att skydda användardata", förklarade företaget i en kommentar, "Liksom många andra organisationer uppmuntrar vi säkerhetsforskare att privat avslöja nolldagssårbarheter för oss. Före offentliggörandet gick Check Point med på att alla rapporterade problem har korrigerats i den senaste versionen av vår app. Vi hoppas att detta framgångsrika avslöjande kommer att uppmuntra framtida samarbete med forskare inom cybersäkerhet.