TikTok má více než miliardu uživatelů a jedná se o jednu z nejstahovanějších aplikací na světě. Popužívají ji hlavně teenageři a děti pro vytváření a sdílení zejména krátkých, a často osobních a velmi citlivých, videí. Výzkumný tým Check Point Research ale nedávno v infrastruktuře aplikace objevil několik zranitelností, které bylo možné jednoduše zneužít pomocí SMS. Jedna z nejrychleji rostoucích aplikací na světě tak byla skutečně nebezpečná a zneužitelná hackery, kteří mohli manipulovat daty (přidávat/mazat videa), nabourávat soukromí (měnit nastavení u videí ze soukromého na veřejné) a krást osobní data (celé jméno, e-mailovou adresu, datum narození).
Pro stažení aplikace TikTok obdržel nový uživatel odkaz prostřednictvím SMS po zadání telefonního čísla na stránce Tiktok.com. Výzkumný tým Check Point Reserach ale zjistil, že hackeři mohli SMS zprávami manipulovat a odesílat je na libovolné telefonní číslo jménem TikToku. Kyberzločinci se tak mohli vydávat za TikTok a vkládat do zpráv škodlivé kódy, které smažou video, nahrají neautorizované video nebo změní u videí nastavení ze soukromého na veřejné.
Navíc experti zjistili, že hackeři nutili uživatele TikToku k návštěvě webového serveru ovládaného hackery, což útočníkům umožnilo posílat žádosti jménem uživatele. Check Point Research také odhalil, že hackeři mohli použít stejnou techniku k přesměrování obětí na škodlivé webové stránky a řadě dalších útoků, včetně krádeží citlivých dat, aniž by o tom uživatelé věděli.
Společnost Check Point Research informoval vývojáře aplikace TikTok o těchto kritických zranitelnostech koncem listopadu loňského roku. Ti následně vydali důležitou aktualizaci aplikace.
Zdroj náhledové fotografie: Solen Feyissa, Unsplash