פצצה מתקתקת: חוקרים ישראלים גילו פרצת אבטחה חמורה ב-TikTok

תוקפים יכלו להפוך סרטוני וידאו פרטיים לציבוריים, ולגנוב את הפרטים האישיים של מאות מיליוני המשתמשים של האפליקציה בעולם

TikTok1111

מקור: TikTok

TikTok הפכה לאחת מהאפליקציות הפופולריות ביותר בקרב ילדים ובני נוער, אשר משתמשים בפלטפורמה כדי לשתף בסרטונים קצרים באורך מקסימלי של 60 שניות. לאפליקציה, שזמינה כיום ב-150 מדינות וביותר מ-75 שפות, יש יותר מ-1.5 מיליארד הורדות, והיא נחשבת כיום לאחת מהאפליקציות המורדות ביותר בעולם. אלא שעם התהילה מגיעים גם הצדדים הפחות חיוביים, והיישום הפופולרי מהווה גן עדן להאקרים שביכולתם לשים ידם על מידע רגיש במיוחד. כעת, חושפת צ׳ק פוינט הישראלית פרצת אבטחה בעייתית באפליקציה, שאפשרה לתוקפים לבצע מגוון פעולות בחשבונות המשתמשים, ולקבל גישה למידע האישי שלהם.

הכל מתחיל מהודעה טקסט תמימה

צוות החוקרים של צ׳ק פוינט איתר חולשת אבטחה ב-TikTok שאפשרה לתוקפים לשלוח הודעות סמס עם לינק זדוני, שיראה כאילו הוא נשלח ממפתחת האפליקציה עצמה. כפי שניתן לראות בתמונה מעלה, באתר הרשמי של החברה, משתמשים יכולים לשלוח לעצמם לינק להורדת היישום לאפליקציה, במקום להיכנס באופן אקטיבי ל-Google Play או ל-App Store. החוקרים הישראלים גילו כי האקרים יכולים לאתר את בקשת ה-HTTP לשליחת אותה הודעת טקסט באמצעות כלי פרוקסי כמו Burp Suite, ולשנות את מספר הטלפון ותוכן ההודעה שתישלח לאותו משתמש.

בצורה זו, האקרים יכולים להחליף בצורה אלגנטית את הלינק המצורף להודעה, מבלי שרוב המשתמשים ישימו לב, שכן מרבית המשתמשים לוחצים באופן אוטומטי על הלינק, בעיקר אם מדובר בהודעה מגורם רשמי, שהם יזמו באופן אקטיבי. הבעייתיות היא שברגע שהמשתמש לוחץ על הלינק מתבצע Redirection לאתר הזדוני, כשכל קובצי ה-Cookie שלו מהאפליקציה עוברים ביחד איתו. כך, התוקף יכול לקבל גישה לחשבונו האישי של הקורבן ולבצע בו שינויים ופעולות ללא אישורו או ידיעתו. בין היתר יכול התוקף, למחוק סרטונים, להעלות סרטונים חדשים בשמו של הקורבן, ולהפוך סרטונים ששותפו באופן פרטי עם חברים בלבד – לציבוריים.

יתרה מכך, החוקרים גילו שאתר משנה של החברה – https://ads.tiktok.com היה חשוף למתקפות שאפשרו לתוקפים לדלות פרטים אישיים אותם הקלידו משתמשי האפליקציה בעת ההרשמה, בהם שמות מלאים, כתובות מגורים, אי מיילים ותאריכי ימי הולדת.

צ׳ק פוינט הודיעה לטיק טוק על ממצאי המחקר שלה, והאחרונה תיקנה את החולשות המדוברות לפני שהאקרים הספיקו לנצל אותן. ד”ר לוק דשוטלס מצוות אבטחת המידע של טיק טוק מסר: “טיקטוק מחוייבת להגנה על המידע שיש בה. בדומה לארגונים רבים אחרים, אנו מעודדים חוקרי אבטחת מידע להעביר לידינו את ממצאיהם ביחס לחולשות חדשות. צ’ק פוינט הכירה בכך שכל החולשות שנמצאו על ידיה תוקנו בגרסה האחרונה של האפליקציה ואנו מקווים שפתרון מוצלח זה יעודד עוד שיתופי פעולה עם חוקרי אבטחת מידע נוספים”.

צפו ביכולות שפרצת האבטחה המדוברת הקנתה לתוקפים:

Avatar

הילה חיימוביץ׳

גיקית, Deal With It

הגב

4 תגובות על "פצצה מתקתקת: חוקרים ישראלים גילו פרצת אבטחה חמורה ב-TikTok"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
רב בריח
Guest

הפריצות היא אם כל חטאת, תזרקו את הסמארטפון לפח, בספר זה לא היה קורה.

עמיקו
Guest

אפליקציה פח

רומן
Guest

האמת שאני לא מצליח להבין את האפליקציה הזו..
סרטון וידאו שמנגן מוזיקה ומראה איזה מפגר/ת עושים שטויות..
סעו באוטובוס תראו מלא ילדים/ילדות עושים פרצופים מפגרים למצלמה שוב ושוב כדי להוציא איזה סרטון דבילי.. הדור הבא נהפך מטומטם מרגע לרגע. כואב לראות את זה..

ב זה בית
Guest

זה בגלל שאתה לא מדור ה-Z (קיצור למה זה אני אשאיר לדמיון שלך :)

wpDiscuz

תגיות לכתבה: