חולשות אבטחה חמורות התגלו באפליקציית טיקטוק

בהודעה שהוציאה חברת צ'ק פוינט הישראלית היא חושפת חולשות אבטחה שאותרו באפליקציית הסרטונים הפופולרית טיקטוק. החולשות איפשרו לתוקפים לבצע מגוון פעולות בחשבונות של משתמשים, להסיר ולשנות הגדרות פרטיות של סרטונים ואף לגנוב מידע אישי שהזינו המשתמשים בעת ההרשמה לאפליקציה.

חוקרי הגנת הסייבר של חברת צ'ק פוינט, חשפו חולשות משמעותיות באפליקציה הפופולרית טיקטוק. להערכתם, החולשות שנמצאו מאפשרות לתוקפים לבצע פעולות בחשבונות של משתמשים כגון הוספה ומחיקה של סרטונים, שינוי הגדרת הפרטיות של הסרטונים (פרטי לפומבי) ואף גניבה של פרטים אישיים אשר הוזנו ע"י המשתמשים בעת ההרשמה לאפליקציה.

לדבריהם החולשות אפשרו לתוקף לשלוח הודעה עם לינק זדוני מתוך מערכת משלוח ההודעות של האפליקציה. לחיצה על הלינק אפשרה לתוקף להגיע לחשבון של הקורבן ולבצע מניפולציות בתוכן הקיים בחשבון. הכוללים מחיקת סרטונים, העלאת סרטונים והפיכת סרטונים פרטיים לפומביים. כמו כן, החוקרים גילו שאתר משנה של האפליקציה https://ads.tiktok.com היה חשוף למתקפות שאפשרו לתוקפים לדלות פרטים אישיים אותם הקלידו משתמשי האפליקציה בעת ההרשמה, ובכלל זאת שמות,  כתובות ותאריכי ימי הולדת.

אפליקציית טיקטוק, נמצאת בבעלות החברה הסינית בייטדאנס, ולה למעלה ממיליארד משתמשים ב-150 מדינות. בנובמבר האחרון הפכה האפליקציה לבעלת ההורדות הגבוהה ביותר בחנויות האפליקציות השונות (למעלה מ-1.5 מיליארד הורדות). האפליקציה פופולרית בעיקר בקרב ילדים ובני הנוער המפרסמים בה סרטונים קצרים, של עד 60 שניות.

צ'ק פוינט הודיעה לטיקטוק על ממצאיה וטיקטוק תיקנה את החולשות האמורות. ד"ר לוק דשוטלס (Luke Deshotels) מצוות אבטחת המידע של טיקטוק: "טיקטוק מחוייבת להגנה על המידע שיש בה. בדומה לארגונים רבים אחרים, אנו מעודדים חוקרי אבטחת מידע להעביר לידינו את ממצאיהם ביחס לחולשות חדשות. צ'ק פוינט הכירה בכך שכל החולשות שנמצאו על ידיה תוקנו בגרסא האחרונה של האפליקציה ואנו מקווים שפתרון מוצלח זה יעודד עוד שיתופי פעולה עם חוקרי אבטחת מידע נוספים".

עודד ואנונו, ראש מחלקת חולשות מוצרים בצ'ק פוינט שעמד בראש המחקר: "פירצות אבטחה שמובילות לזליגת מידע רגיש הן תופעה שהולכת וצוברת תאוצה. מרבית המשתמשים באפליקציות הללו יוצאים מנקודת הנחה שהאפליקציות הפופולריות הן בטוחות במיוחד, אך האקרים משקיעים משאבים ומאמצים רבים בכדי לחדור אליהן וזאת בשל המידע האישי העצום שקיים בהן על כל משתמש ומשתמשת. המחקרים שלנו מוכיחים שגם האפליקציות הכי פופולריות בעולם נמצאות תחת סיכון".