H
Check Point Research (CPR)
έφερε στο φως πρόσφατα μια
ευπάθεια στη λειτουργία “Εύρεση φίλων” του TikTok
που παρακάμπτει τις προστασίες απορρήτου του. Αν η συγκεκριμένη ευπάθεια δεν αντιμετωπιζόταν θα επέτρεπε σε έναν εισβολέα την πρόσβαση στις λεπτομέρειες του προφίλ χρηστών και στους αριθμούς τηλεφώνου που σχετίζεται με τον λογαριασμό τους, καθιστώντας δυνατή τη δημιουργία μιας βάσης δεδομένων πληροφοριών για χρήση σε κακόβουλη δραστηριότητα στο μέλλον.
Οι ερευνητές της CPR βρήκαν δύο φορές ελαττώματα ασφαλείας στο TikTok. Τα προσβάσιμα στοιχεία προφίλ μέσω της πιο πρόσφατης ευπάθειας περιλαμβάνουν τα εξής: αριθμό τηλεφώνου, ψευδώνυμο, εικόνες προφίλ και avatar, μοναδικά αναγνωριστικά χρήστη, καθώς και ορισμένες ρυθμίσεις προφίλ, όπως αν ο χρήστης είναι follower ή αν το προφίλ του είναι κλειδωμένο.
Πως οι εισβολείς μπορούν να εκμεταλλευθούν τη συγκεκριμένη ευπάθεια:
1. Δημιουργία λίστας συσκευών (device IDs) που θα χρησιμοποιηθούν για την αναζήτηση των διακομιστών του TikTok.
2. Δημιουργία λίστας με tokens συγκεκριμένης περιόδου λειτουργίας (κάθε token ισχύει για 60 ημέρες) που θα χρησιμοποιηθεί για την αναζήτηση των διακομιστών του TikTok.
3. Παράκαμψη του μηχανισμού υπογραφής μηνυμάτων HTTP του TikTok χρησιμοποιώντας τη δική τους υπηρεσία υπογραφής, που εκτελείται στο παρασκήνιο.
4. Σύνδεση όλων των παραπάνω τροποποιώντας αιτήματα HTTP, αγνόηση αυτών αι χρήση διαφόρων tokens και device IDs για να παρακάμψουν τους μηχανισμούς προστασίας του TikTok.
Τα βήματα που ακολούθησαν Check Point Research και ByteDance…
Η CPR με υπευθυνότητα αποκάλυψε τα ευρήματά της στην ByteDance, κατασκευαστή του TikTok. To θετικό ήταν ότι οι δημιουργοί του TikTok ανέπτυξαν μια λύση ώστε να εξασφαλίσει πως οι χρήστες του TikTok μπορούν να συνεχίσουν να χρησιμοποιούν την εφαρμογή με ασφάλεια.
Σε προηγούμενη έρευνα της για το TikTok, η CPR είχε ήδη βρει δύο φορές ελαττώματα ασφαλείας σε αυτό.
Στις 8 Ιανουαρίου 2020, η CPR δημοσίευσε ένα έγγραφο σχετικά με ένα σύνολο ευπαθειών που θα μπορούσαν να επιτρέψουν σε έναν παράγοντα απειλής να έχει πρόσβαση σε προσωπικές πληροφορίες που έχουν αποθηκευτεί σε λογαριασμούς χρηστών, να χειριστεί τα στοιχεία λογαριασμού των χρηστών ή να προβεί σε ενέργειες εκ μέρους ενός χρήστη χωρίς τη συγκατάθεσή του.
O Oded Vanunu, Επικεφαλή Έρευνας για θέματα ευπάθειας προϊόντων στην Check Point δήλωσε:
“Το πρωταρχικό μας κίνητρο αυτή τη φορά, ήταν να διερευνήσουμε το απόρρητο του TikTok. Ήμασταν περίεργοι αν η πλατφόρμα θα μπορούσε να χρησιμοποιηθεί για την απόκτηση προσωπικών δεδομένων του χρήστη της. Αποδείχθηκε ότι η απάντηση ήταν ναι, καθώς καταφέραμε να παρακάμψουμε τους πολλαπλούς μηχανισμούς προστασίας του TikTok που οδηγούν σε παραβίαση απορρήτου. Η ευπάθεια θα μπορούσε να επιτρέψει σε έναν εισβολέα να δημιουργήσει μια βάση δεδομένων με στοιχεία χρήστη και τους αντίστοιχους αριθμούς τηλεφώνου τους. Ένας εισβολέας με αυτόν τον βαθμό ευαίσθητων πληροφοριών θα μπορούσε να εκτελέσει μια σειρά κακόβουλης δραστηριότητας, όπως ηλεκτρονικό ψάρεμα ή άλλες εγκληματικές ενέργειες. Το μήνυμά μας στους χρήστες του TikTok είναι να μοιράζονται ελάχιστα από τα προσωπικά τους δεδομένα. Όπως και να ενημερώσουν το λειτουργικό τους σύστημα και τις εφαρμογές τους στις πιο πρόσφατες εκδόσεις.”
Εκπρόσωπος του TikTok δήλωσε:
“Η ασφάλεια και το απόρρητο της κοινότητας TikTok είναι η ύψιστη προτεραιότητά μας και εκτιμούμε το έργο αξιόπιστων συνεργατών όπως η Check Point στον εντοπισμό πιθανών ζητημάτων, ώστε να τα επιλύσουμε προτού επηρεάσουν τους χρήστες μας. Συνεχίζουμε να ενισχύουμε τις άμυνες μας, τόσο με εσωτερικές αναβαθμίσεις όπως η επένδυση σε αυτοματοποιημένο σύστημα άμυνα, καθώς και με τη συνεργασία μας με τρίτους.”