Výzkumníci společnosti Check Point objevili v aplikaci Tik Tok čtyři závažné bezpečnostní chyby, které ohrožují data uživatelů
Byla to nejpopulárnější aplikace roku 2019, určitě bude i v roce 2020, má více než miliardu odběratelů a jako jediná je v současnosti schopna nahnat strach skupině Facebook. K dokonalosti má však daleko. Výzkumníci společnosti Check Point Research zjistili čtyři závažné chyby v aplikaci TikTok a několik problémů s oficiálními webovými stránkami.
ByteDance, čínská společnost, která TikTok vyvíjí, se zprávami společnosti Check Point zabývala, chyby v aplikaci odstranila a vydala aktualizaci a opravila také problémy s webovými stránkami. Všem, kteří TikTok používají, by proto bylo vhodné aplikaci okamžitě aktualizovat, protože jinak hrozí poměrně vysoké riziko: TikTok totiž před aktualizací mohli hackeři napadnout jednoduchou podvrženou SMS, která uživatele přesměrovala na škodlivou webovou stránku napodobující domovskou stránku TikToku.
Čtyři zranitelnosti aplikace TikTok
Podle Alona Boxinera, Erana Vaknina, Alexeje Volodina, Dikly Bardy a Romana Zaikina, pěti výzkumníků, kteří objevili čtyři závažné chyby v aplikaci TikTok, lze několika jednoduchými a nepříliš složitými kroky ovládnout účet TikTok, odstranit videa a nahrát další bez souhlasu uživatele, zveřejnit soukromá a skrytá videa a odhalit osobní údaje spojené s účtem, například soukromé e-mailové adresy.
TikTok: Pozor na SMS
K hacknutí účtu TikTok stačí poslat oběti SMS s výzvou ke stažení aplikace a zhlédnutí videa. Tato funkce je jedním ze způsobů, které společnost ByteDance zvolila pro pozvání nových uživatelů k používání služby, a na oficiálních webových stránkách TikToku je k dispozici speciální pole pro zasílání textových videí. Ti, kteří takovou zprávu obdrží, proto obvykle nejsou znepokojeni. Společnost Check Point však zjistila, že je možné podvrhnout SMS zprávy tak, aby vypadaly, že pocházejí od TikToku. Po kliknutí na falešný odkaz mohl hacker získat přístup k částem účtu TikTok. Check Point také zjistil, že infrastruktura TikToku umožnila hackerovi přesměrovat již napadeného uživatele na škodlivou webovou stránku, která vypadala jako domovská stránka TikToku.
Reakce TikToku
Check Point objevil čtyři závažné bezpečnostní chyby v TikToku v listopadu 2019, ale držel je v tajnosti, dokud společnost nebyla schopna opravit svou aplikaci a webové stránky. "TikTok se zavázal chránit data uživatelů," vysvětluje společnost v poznámce.Stejně jako mnoho jiných organizací vyzýváme bezpečnostní výzkumníky, aby nám soukromě sdělovali zranitelnosti nultého dne. Před zveřejněním Check Point souhlasil, že všechny nahlášené problémy byly v nejnovější verzi naší aplikace opraveny. Doufáme, že toto úspěšné odhalení podpoří budoucí spolupráci s výzkumníky v oblasti kybernetické bezpečnosti.