Της Κωνσταντίνας Κούκου, Cyber Security Specialist, Check Point
«Η Check Point Research (CPR) αποκαλύπτει μια ευπάθεια στη λειτουργία "Εύρεση φίλων" του TikTok που παρακάμπτει τις προστασίες απορρήτου του. Αν η συγκεκριμένη ευπάθεια δεν αντιμετωπιζόταν θα επέτρεπε σε έναν hacker την πρόσβαση στις λεπτομέρειες του προφίλ χρηστών και στους αριθμούς τηλεφώνου που σχετίζεται με τον λογαριασμό τους, καθιστώντας δυνατή τη δημιουργία μιας βάσης δεδομένων πληροφοριών για χρήση σε κακόβουλη δραστηριότητα στο μέλλον.
Οι ερευνητές της CPR βρήκαν δύο φορές ελαττώματα ασφαλείας στο TikTok.
Τα προσβάσιμα στοιχεία προφίλ μέσω της πιο πρόσφατης ευπάθειας περιλαμβάνουν τα εξής: αριθμό τηλεφώνου, ψευδώνυμο, εικόνες προφίλ και avatar, μοναδικά αναγνωριστικά χρήστη, καθώς και ορισμένες ρυθμίσεις προφίλ, όπως αν ο χρήστης είναι follower ή αν το προφίλ του είναι κλειδωμένο.
Η CPR αποκάλυψε τα ευρήματα στο TikTok και έχει ήδη αναπτυχθεί ενημέρωση στον κώδικα.
Ποια η μεθοδολογία εκμετάλλευσης της ευπάθειας από τους εισβολής;
- Δημιουργία λίστας συσκευών (device IDs) που θα χρησιμοποιηθούν για την αναζήτηση των διακομιστών του TikTok.
- Δημιουργία λίστας με tokens συγκεκριμένης περιόδου λειτουργίας (κάθε token ισχύει για 60 ημέρες) που θα χρησιμοποιηθεί για την αναζήτηση των διακομιστών του TikTok.
- Παράκαμψη του μηχανισμού υπογραφής μηνυμάτων HTTP του TikTok χρησιμοποιώντας τη δική τους υπηρεσία υπογραφής, που εκτελείται στο παρασκήνιο.
- Σύνδεση όλων των παραπάνω τροποποιώντας αιτήματα HTTP, αγνόηση αυτών αι χρήση διαφόρων tokens και device IDs για να παρακάμψουν τους μηχανισμούς προστασίας του TikTok.
Ποια η αντίδραση της Check Point Research:
Η CPR με υπευθυνότητα αποκάλυψε τα ευρήματά της στην ByteDance, κατασκευαστή του TikTok. Μια λύση αναπτύχθηκε υπεύθυνα ώστε να εξασφαλίσει πως οι χρήστες του TikTok μπορούν να συνεχίσουν να χρησιμοποιούν την εφαρμογή με ασφάλεια. Σε προηγούμενη έρευνα της για το TikTok, η CPR είχε ήδη βρει δύο φορές ελαττώματα ασφαλείας σε αυτό. Στις 8 Ιανουαρίου 2020, η CPR δημοσίευσε ένα έγγραφο σχετικά με ένα σύνολο ευπαθειών που θα μπορούσαν να επιτρέψουν σε έναν παράγοντα απειλής να έχει πρόσβαση σε προσωπικές πληροφορίες που έχουν αποθηκευτεί σε λογαριασμούς χρηστών, να χειριστεί τα στοιχεία λογαριασμού των χρηστών ή να προβεί σε ενέργειες εκ μέρους ενός χρήστη χωρίς τη συγκατάθεσή του.
Κλείνοντας θα ήθελα να πως πώς, με πάνω από 1 δισεκατομμύριο χρήστες , το TikTok αδιαμφισβήτητα είναι major trend. Το κοινό του, κυρίως teenagers το χρησιμοποιούν προκειμένου να φτιάξουν αστεία music clips αλλά και για ανταλλαγή private videos με τους αγαπημένους τους. Το ερώτημα ωστόσο για την Check Point, παγκόσμιο leaderστην κυβερνοασφάλεια είναι κατά πόσο η εφαρμογή είναι ασφαλής και διαφυλάσσει τα προσωπικά δεδομένα των χρηστών του.
Η προσπάθεια προς αυτή την κατεύθυνση των ερευνητών της Check Point οδήγησε στο να παρακαμφθούν οι μηχανισμοί ασφάλειας του TikTok αποκτώντας πρόσβαση στα στοιχεία των χρηστών και στου αντίστοιχους τηλεφωνικούς αριθμούς. Η πρόσβαση σε αυτή την πληροφορία από hackers τροφοδεί εν δυνάμει πληθώρα κακόβουλων ενεργειών κατά του χρήστη. Δυστυχώς δεν είναι η πρώτη φορά που ανακαλύπτουμε ευπάθεια στο TikTok , πριν λίγο καιρό παρόμοιες ευπάθειες στην εφαρμογή επέτρεπαν σε κάποιον κακόβουλο να αποκτήσει πρόσβαση στο προφίλ του χρήστη , να σβήσει, να ανεβάσει ή να μετατρέψει ένα private video σε public.
Φυσικά όλες οι ευπάθειες κοινοποιούνται από την Check Point με ασφάλεια στο TikTok προκειμένου να διορθωθούν πριν επηρεάσουν τους χρήστες.
Ωστόσο το μήνυμά μας προς τους χρήστες του TikTok είναι να μοιράζονται ελάχιστα από τα προσωπικά τους δεδομένα. Όπως και να ενημερώσουν το λειτουργικό τους σύστημα και τις εφαρμογές τους στις πιο πρόσφατες εκδόσεις.»
