Szakértők demonstrálták, hogyan lehet meghekkelni egy TikTok fiókot

A TikTok-ot, amely a harmadik legtöbbször letöltött mobiltelefon alkalmazás volt 2019-ben, intenzív figyelem követi a felhasználók személyes adatainak védelme miatt. Bírálat érte azért is, mert az elmúlt időszakban megszaporodtak rajta a cenzúrázott, politikailag vitatott tartalmak is. És a megpróbáltatások még nem értek véget a TikTok háza táján, most ugyanis a több milliós felhasználótáborának a biztonsága körül merültek fel kérdések.

A hírhedt kínai virális videómegosztó applikációnál ugyanis veszélyes sebezhetőséget találtak, amivel a támadok át tudták venni az irányítást bármilyen felhasználó profilja fölött. Ehhez mindössze az áldozat telefonszámát kellett csak tudni.

A Hacker News portállal megosztott jelentés szerint a Check Point kiberbiztonsági szakértői felfedtek több sebezhetőséget is. Ezek a hibák lehetővé tették számukra, hogy távolról egy rosszindulatú programot futtassanak, és nemkívánatos tevékenységeket hajtsanak végre a felhasználó hozzájárulása nélkül.

A jelentés szerint olyan alacsony komolyságú hibák jöttek elő mint az SMS-es linkes átverés (SMS link spoofing), nyílt átirányítás (open redirection), és a XSS (cross-site scripting). Ezek együttesen azonban már lehetővé tették a támadóknak különféle súlyos támadások végrehajtását:

  • törölni tudták az áldozatok videóit a TikTok profilban
  • fel tudtak tölteni nem engedélyezett videókat
  • privát elrejtett videókat átállították publikussá
  • fel tudták fedni a felhasználók személyes információit, mint a privát lakcímüket és email címeiket.

Hogyan tudták feltörni a TikTok profilokat?

A támadók a nem biztonságos SMS rendszert használták ki, amit a TikTok kínál a weboldalán. Ezen keresztül lehet üzenetet küldeni a felhasználóknak a saját telefonjukra, amely tartalmazza az applikáció letöltéséhez a linket.

A szakértők szerint a hackerek képesek voltak SMS üzenetet küldeni bármilyen telefonszámra a TikTok nevében. Ez az üzenet egy módosított URL linket tartalmazott, amely ártalmas oldalra irányított át. Erre rákattintva elindult a kódnak a futtatása azon a kiszemelt eszközön, ahol a TikTok már telepítve volt.

TikTok

Ha kihasználták a nyílt átirányítást és az XSS problémákat is, akkor a támadók le tudták futtatni ezt az ártalmas JavaScript kódot az áldozat nevében.

Ez a technika közismert a hackerek körében, és a szakma nyelvén cross-site request forgery attack-nak hívják. Ezáltal a támadók átverik az autentikált felhasználót, és végrehajtattják vele a nemkívánatos tevékenységeket.

A CheckPoint szakértők felelősségteljesen tudatták ezeket a hiányosságokat még tavaly novemberben a ByteDance céggel, amely a TikTok fejlesztője. Ők ezek után rögtön kiadtak egy patchelt verziót a mobilapphoz, amellyel elhárították ezeket a sérülékenységeket.

Ha tehát te is használod a TikTok alkalmazást, de nem a legutolsó verziója van telepítve az appnak, akkor javasoljuk, hogy frissítsd az alkalmazást minél hamarabb.