צ'ק פוינט גילתה חולשות אבטחה חמורות באפליקציית טיקטוק

לדברי חוקרי צ'ק פוינט, החולשות אפשרו לתוקפים לשלוח הודעה עם קישור זדוני מתוך מערכת משלוח ההודעות של האפליקציה • ברגע שמשתמשים לחצו על הקישור, לתוקפים התאפשר למחוק סרטונים שהעלו, להעלות בשמם סרטונים חדשים, להפוך סרטונים פרטיים לציבוריים ועוד • טיקטוק תיקנה את החולשות בעקבות ההודעה

אפליקציית טיק טוק / צילום: דא קינג , רויטרס
אפליקציית טיק טוק / צילום: דא קינג , רויטרס

חברת צ'ק פוינט הישראלית גילתה חולשות אבטחה חמורות בטיקטוק, אפליקציית רשת חברתית מבוססת סרטונים קצרים שזוכה לפופולריות רבה בקרב צעירים וצברה מעל מיליארד משתמשים בעולם.

לדברי חוקרי צ'ק פוינט, החולשות אפשרו לתוקפים לשלוח הודעה עם קישור זדוני מתוך מערכת משלוח ההודעות של האפליקציה. ברגע שמשתמשים לחצו על אותו קישור, לתוקפים התאפשר למחוק סרטונים שהעלו, להעלות בשמם סרטונים חדשים, להפוך סרטונים פרטיים לציבוריים ולבצע פעולות נוספות ללא הרשאה.

בנוסף, החוקרים גילו כי באמצעות אתר משנה של האפליקציה, https://ads.tiktok.com, תוקפים יכלו לגשת לפרטים אישיים שהמשתמשים מסרו בעת ההרשמה, בהם שמות מלאים, כתובות מגורים, כתובות מייל ותאריכי לידה.

צ'ק פוינט הודיעה לטיקטוק על הממצאים, וטיקטוק תיקנה את החולשות בעקבות ההודעה.

טיקטוק פותחה על-ידי סטארט-אפ הענק הסיני בייטדאנס וזוכה לפופולריות חסרת תקדים במערב עבור שירות סיני. קיימים חששות בארה"ב כי ממשלת סין עלולה לנצל את השירות כדי לפגוע בביטחון הלאומי של ארה"ב או לסנן תכנים בהתאם לכללי הצנזורה הסינית.

חוקרי צ'ק פוינט שאיתרו את החולשות החלו הם אלון בוקסינר, ערן וקנין, אלכסיי וולודין, דיקלה ברדה ורומן זאיקין.

עודד ואנונו, ראש מחלקת חולשות מוצרים בצ'ק פוינט שעמד בראש המחקר, הזהיר כי "מרבית המשתמשים יוצאים מנקודת הנחה שהאפליקציות הפופולריות הן בטוחות במיוחד, אך האקרים משקיעים משאבים ומאמצים רבים בכדי לחדור אליהן, וזאת בשל המידע האישי העצום שקיים בהן על כל משתמש ומשתמשת. המחקרים שלנו מוכיחים שגם האפליקציות הכי פופולריות בעולם נמצאות תחת סיכון".

ד"ר לוק דשוטלס (Luke Deshotels) מצוות אבטחת המידע של טיק טוק הצהיר כי "טיקטוק מחויבת להגנה על מידע. בדומה לארגונים רבים אחרים, אנו מעודדים חוקרי אבטחת מידע להעביר לידינו את ממצאיהם ביחס לחולשות חדשות. צ'ק פוינט הכירה בכך שכל החולשות שנמצאו על ידיה תוקנו בגרסה האחרונה של האפליקציה, ואנו מקווים שפתרון מוצלח זה יעודד עוד שיתופי-פעולה עם חוקרי אבטחת מידע נוספים".