Le vulnerabilità di TikTok sul suo sistema SMS consentono agli aggressori di rubare informazioni personali

I ricercatori della sicurezza hanno scoperto varie vulnerabilità del TikTok di proprietà di ButeDance, con sede a Pechino, che consente ai potenziali hacker di dirottare gli account degli utenti e manipolare i video caricati e le informazioni personali.

TikTok è una famosa piattaforma di social media e il coinvolgimento degli utenti di massa su questa piattaforma ha ora. Durante le statistiche di novembre secondo le stime di Sensor Tower Store Intelligence, ha oltre 500, 000, 000 installatori su Google Play e oltre 1,5 miliardi su piattaforma mobile. Viene utilizzato per condividere video mobili in loop di breve durata da 3 a 60 secondi.

I ricercatori di Check Point affermano in un rapporto che le applicazioni Tittok e il suo backend erano vulnerabili agli attacchi. ByteDance risolve la vulnerabilità entro un mese dalla comunicazione dei problemi di sicurezza a novembre.

“I dati sono pervasivi, ma le violazioni dei dati stanno diventando un’epidemia e la nostra ultima ricerca mostra che le app più popolari sono ancora a rischio”, ha dichiarato Oded Vanunu, responsabile della ricerca sulle vulnerabilità dei prodotti di Check Point.

“Le applicazioni dei social media sono altamente mirate alle vulnerabilità in quanto forniscono una buona fonte di dati privati ​​e offrono un buon gate di attacco”.

Sistema SMS vulnerabile su TikTok

CheckPoint ha affermato che il sistema SMS di TikTok consente agli attacchi di manipolare i dati dell’account aggiungendo ed eliminando video, modificando le impostazioni sulla privacy dei video ed ex-filtrando nomi utente, indirizzo e-mail, data di nascita e altri dati personali relativi agli utenti. Secondo i ricercatori di Check Point, gli aggressori sfruttano le vulnerabilità del sistema per caricare video non autorizzati e cancellare i video caricati, spostare i video degli utenti da privati ​​a pubblici e rubare informazioni personali.

Per eseguire queste azioni dannose, gli aggressori potrebbero inviare il link di download dell’app ai numeri di telefono degli utenti tramite messaggi di testo che danno l’impressione di provenire da TikTok. Inoltre, gli utenti potrebbero essere reindirizzati su un server Web controllato dagli aggressori.

“Il reindirizzamento apre la possibilità di eseguire attacchi di contraffazione richiesta di falsificazione (CSRF), cross-site scripting (XSS) e esposizione di dati sensibili senza il consenso dell’utente.”

“TikTok si impegna a proteggere i dati degli utenti. Come molte organizzazioni, incoraggiamo i ricercatori responsabili della sicurezza a rivelarci privatamente vulnerabilità zero day”, ha affermato Luke Deshotels, il team di sicurezza di TikTok.

 Prima della divulgazione al pubblico, CheckPoint ha concordato che queste vulnerabilità sono state corrette sull’ultima versione dell’app.

TikTok ha vietato gli smartphone per problemi governativi dei soldati

Le rivelazioni della ricerca di Check Point arrivano dopo il divieto del TikTok dalle filiali militari statunitensi, tra cui l’Esercito, la Marina, il Corpo dei Marines e l’Aeronautica.

“È considerata una minaccia cibernetica”, ha detto il portavoce dell’esercito tenente colonnello Robin Ochoa “Non lo permettiamo sui telefoni del governo”.

“Diffidare delle applicazioni scaricate, monitorare i telefoni per testi insoliti e non richiesti ecc., ed eliminarli immediatamente e disinstallare TikTok per eludere qualsiasi esposizione di informazioni personali.”, nuove linee guida anche per tutti i dipendenti del dipartimento della difesa.

Ciò è stato seguito da un successivo inviato dei senatori degli Stati Uniti Chuck Schumer e Tom Cotton in ottobre “al direttore facente funzione dell’intelligence nazionale che ha richiesto una valutazione dei rischi per la sicurezza nazionale posti da TikTok e altre piattaforme di contenuti con sede in Cina che operano negli Stati Uniti”.

Schumer ha anche pubblicato una dichiarazione, ha affermato che la sonda di sicurezza nazionale su TikTok conferma la preoccupazione dei senatori che le app come TikTok possano comportare gravi rischi per milioni di americani e meritano un maggiore controllo come risposta quando Reuters ha riferito che il governo degli Stati Uniti ha avviato un’indagine su L’acquisizione da parte del proprietario di TikTok ByteDance dell’app social.ly americana musical.ly da novembre 2017 per potenziali rischi per la sicurezza nazionale.

Vanessa Pappas, il direttore generale degli Stati Uniti di tiktok, ha risposto che tutti i dati degli utenti negli Stati Uniti vengono archiviati con ridondanza di backup a Singapore. “I nostri data center si trovano interamente al di fuori della Cina e nessuno dei nostri dati è soggetto alla legge cinese”, ha affermato a fine ottobre.

“I data center di TikTok si trovano interamente al di fuori della Cina”. Ha anche affermato che la società ha “un team tecnico dedicato incentrato sull’adesione a solide politiche di sicurezza informatica e pratiche sulla privacy e la sicurezza dei dati”, questo è ciò che le pappa hanno ribadito un mese dopo.