I ricercatori di Check Point affermano che una serie di vulnerabilità, ora risolte, avrebbero potuto consentire agli hacker di accedere ad account, informazioni private e video
I ricercatori della società israeliana di cybersecurity Check Point hanno scoperto che una delle app più trendy del mondo, la cinese TikTok, con oltre 1 miliardo di utenti attivi, era vulnerabile agli attacchi di hacking che potevano esporre dettagli personali come indirizzi email, video e informazioni sensibili. I ricercatori hanno dichiarato di aver informato gli sviluppatori di TikTok delle falle esposte e che l’azienda ha risolto i difetti, rendendo l’app più sicura, almeno per il momento. TikTok è disponibile in oltre 150 mercati in 75 lingue e a ottobre del 2019 è stata la più scaricata negli Stati Uniti, rendendola la prima app cinese ad aver raggiunto un tale record.
Poca sicurezza?
Nella loro ricerca, i tecnici di Check Point hanno scoperto che un utente malintenzionato poteva inviare un messaggio sms contraffatto a un utente contenente un collegamento dannoso. Quando si faceva click sul link, l’attaccante era in grado di accedere all’account TikTok e manipolarne il contenuto: eliminare video, caricare video non autorizzati e rendere pubblici i filmati privati o “nascosti”, rivelando al contempo le informazioni personali memorizzate. La ricerca ha anche scoperto che il sottodominio di TikTok, https://ads.tiktok.com, è stato esposto ad attacchi XSS, un tipo di minaccia in cui gli script dannosi vengono iniettati in siti web altrimenti affidabili. I ricercatori sono riusciti a utilizzare questa vulnerabilità per recuperare le informazioni personali salvate sugli account, inclusi indirizzi e-mail privati e date di nascita. Check Point ha ricordato che le applicazioni di social media sono in cima alla lista degli obiettivi degli hacker ma la maggior parte degli utenti non se ne preoccupa abbastanza (anche perché non ne è sufficientemente a conoscenza).
Luke Deshotels del team di sicurezza TikTok ha dichiarato: «TikTok si impegna a proteggere i dati degli utenti. Come molte organizzazioni, incoraggiamo i ricercatori di sicurezza a rivelarci privatamente vulnerabilità e zero-day. Prima della divulgazione al pubblico, CheckPoint ha concordato che tutti i problemi segnalati sono stati corretti nell’ultima versione della nostra app. Speriamo che questa storia incoraggi la futura collaborazione con altri esperti».