Дыры в TikTok: приложение признали небезопасным

В приложении TikTok найдены серьезные уязвимости

В популярном приложении TikTok был обнаружен ряд уязвимостей, которые позволяли злоумышленникам получить доступ к личным данным пользователей, в том числе к загруженным видео. Для проведения такой атаки было достаточно простого SMS-сообщения, отправленного на телефон жертвы. 

ИБ-компания Check Point Software Technologies Ltd. сообщила о найденных уязвимостях в популярном среди молодежи приложении TikTok. Благодаря этим брешам в безопасности социальной сети, хакеры могли получить доступ к личным данным ее пользователей, количество которых превышает миллиард человек. По состоянию на октябрь 2019 года, TikTok является одним из самых скачиваемых приложений в мире.

Тем не менее, чтобы взломать китайский сервис с такой большой аудиторией, понадобилось не так много усилий.

На сайте TikTok предусмотрена функция, позволяющая отправлять SMS-сообщения на любой номер телефона с ссылкой и приглашением установить мобильное приложение.

Хакерам только оставалось перехватить это сообщение с помощью специального инструмента, а затем заменить обычную ссылку на зараженную, открыв которую, пользователь предоставлял злоумышленникам доступ к своему аккаунту.

Как сообщили эксперты по кибербезопасности, с помощью такой атаки мошенник мог удалять уже имеющиеся ролики, загружать собственное видео, а также делать публичной ту информацию, которую пользователь хотел держать скрытой — например, электронный адрес или приватный контент. 

«Видео в TikTok носят развлекательный характер. Это приложение создало новый тренд, стиль и даже новый жанр. Но, как многие поняли на себе, есть четкая грань между забавными клипами и компрометацией приватного или даже интимного контента, который якобы должен быть под защитой тех сервисов, которыми мы пользуемся», — заявили в Check Point.

Известно, что руководство TikTok было уведомлено о существующих проблемах с безопасностью, после чего они были оперативно устранены. 

«TikTok всегда стоит на страже пользовательских данных. Как и многие другие организации, мы призываем ответственных исследователей в области кибербезопасности сообщать нам информацию об уязвимостях нулевого дня. Перед публикацией своего отчета в Check Point удостоверились, что все обнаруженные проблемы были исправлены в последней версии нашего приложения. Мы надеемся, что это успешное разрешение ситуации будет способствовать будущему сотрудничеству с ИБ-экспертами», — заявил представитель службы безопасности TikTok Люк Дешотелс.

Найденные в TikTok уязвимости вряд ли пойдут на пользу репутации сервиса, который и так находится под пристальным вниманием американских регуляторов.

Ранее сенаторы США Чак Шумер и Том Коттон написали письмо на имя советника президента США по национальной безопасности из-за риска шпионажа китайской компании ByteDance, владеющей TikTok, в пользу КНР. Кроме того, американским военным, а также сотрудникам Госдепа и Министерства внутренней безопасности США и вовсе запретили запускать TikTok из-за «угрозы кибербезопасности».

Некоторые СМИ сообщали о том, что ByteDance может продать долю в TikTok другой компании, чтобы успокоить американских законодателей, однако в самой компании назвали эту информацию «беспочвенными слухами».