Aplikace TikTok pro vytváření a sdílení krátkých videí patří momentálně mezi nejstahovanější tituly na světě. Provozovatelé aktuálně evidují více než 1 miliardu uživatelů a další přibývají. S narůstající popularitou čelí TikTok útokům ze strany hackerů, kteří se snaží zneužít bezpečnostních děr v aplikaci. Několik takových v uplynulém období odhalili odborníci ze softwarové společnosti Check Point Research.
Výzkumný tým objevil v TikToku několik zranitelností, které bylo možné jednoduše zneužít pomocí SMS systému. Útočníci mohli manipulovat daty, mazat nebo dokonce i přidávat videa, nabourávat soukromí (měnit nastavení u videí ze soukromého na veřejné) a krást osobní data (celé jméno, e-mailovou adresu, datum narození). Vzhledem k častému používání aplikace dětmi nebo teenagery byla tato zranitelnost extrémně citlivá.
Jak to fungovalo
Pro stažení aplikace TikTok obdrží nový uživatel odkaz prostřednictvím SMS po zadání telefonního čísla na stránce Tiktok.com. Výzkumný tým Check Point Reserach ale zjistil, že hackeři mohou SMS zprávami manipulovat a odesílat je na libovolné telefonní číslo jménem TikToku. Hackeři se tak mohou vydávat za TikTok a vkládat do zpráv škodlivé kódy, které smažou video, nahrají neautorizované video nebo změní u videí nastavení ze soukromého na veřejné.
Útočníci mohli uživatele přimět i k návštěvě neautorizovaného serveru ovládaného hackery, což jim následně umožnilo posílat žádosti jménem uživatele. Stejnou techniku mohli použít i k přesměrování obětí na škodlivé webové stránky a řadě dalších útoků, včetně krádeží citlivých dat, aniž by o tom uživatelé věděli. Softwarový tým Check Pointu informoval vývojáře TikToku společnost ByteDance o zjištěných chybách v listopadu 2019, během měsíce byla aplikace opravena a nyní by již měla být bezpečná.
Zranitelnosti v aplikaci TikTok: