L’app aveva gravi vulnerabilità sfruttabili da malintenzionati che potevano violare col raggiro l’account di un utente: a darne notizia è stata la società di cybersecurity Check Point Research, e TikTok è corsa ai ripari
L’app di TikTok fino a non molto tempo fa aveva “molteplici vulnerabilità”: ad affermarlo è società di cybersecurity Check Point Research, che agli inizi di novembre ha individuato e segnalato le vulnerabilità zero day – com’è nota in gergo qualsiasi falla non espressamente nota allo sviluppatore – del social network.
La società che si occupa di ricerca nel campo della cybersicurezza ha scoperto che era possibile creare dei falsi messaggi di testo facendo credere al destinatario che provenissero proprio da TikTok: una volta che l’utente cliccava sul messaggio esca, l’hacker riusciva a ottenere l’accesso a parti dell’account della vittima potendo così caricare o eliminare i video dal profilo, modificare le impostazioni dei video esistenti – ad esempio rendendo pubblici i video nascosti – e rivelando le informazioni personali salvate sull’account, come gli indirizzi email personali.
Il video qui sopra mostra la ricostruzione di come poteva essere effettuato un attacco ai danni dell’account di un utente. Check Point ha anche scoperto che il codice di TikTok avrebbe consentito agli hacker di reindirizzare un utente compromesso a un sito web esterno mascherato da homepage di TikTok. In questo modo gli hacker erano in grado di combinare lo scripting cross-site e altri attacchi mirati all’utente inconsapevole.
ByteDance, la società cinese che possiede TikTok, è stata immediatamente informata delle vulnerabilità scovate da Check Point a novembre, e con l’ultimo aggiornamento i problemi sono stati tutti patchati.
“TikTok si impegna a proteggere i dati degli utenti. Come molte organizzazioni, incoraggiamo i ricercatori responsabili della sicurezza a rivelarci privatamente vulnerabilità zero day prima della divulgazione al pubblico”, ha dichiarato a The Verge Luke Deshotels, membro del team di sicurezza di TikTok. “Check Point ha potuto appurare che tutti i problemi segnalati sono stati corretti nell’ultima versione della nostra app. Speriamo che questa risoluzione riuscita incoraggi la futura collaborazione con i ricercatori della sicurezza”.
TikTok, che è si sta rapidamente avvicinando a quota 1,5 miliardi di utenti globali, è un bersaglio maturo per gli hacker a causa della quantità di dati e il trasferimento di informazioni potenzialmente private. “Dal momento che app come TikTok possono essere utilizzate su più piattaforme, è più facile per un attore malintenzionato intensificare rapidamente la propria attività” ha spiegato Oded Vanun, ricercatore di Check Point.
Leggi anche