Ошибки TikTok могли бы позволить захват аккаунта

По мере того, как приложение для социальных сетей продолжает набирать популярность, исследователи, занимающиеся вопросами безопасности, начинают капать глубже.

Социальное видео приложение TikTok было заклеймено как потенциальная угроза безопасности за свои связи с Китаем — приложение принадлежит пекинской компании ByteDance, но, как и любое программное обеспечение, оно также имеет потенциал для более сиюминутных проблем безопасности. Недавно исправленные уязвимости в приложении могли позволить злоумышленнику захватить учетные записи TikTok, добавить или удалить видео, а также раскрыть личные данные, такие как пользовательская информация или видео с пометкой «скрыто».

Ошибки TikTok могли бы позволить захват аккаунта

Исследователи из охранной фирмы Check Point впервые раскрыли ошибки TikTok в конце ноября, и компания исправила их все на iOS и Android к концу декабря. Тем не менее, выводы пришли, так как Конгресс провел слушания и призвал к расследованию в последние месяцы в связи с возможностью того, что приложение представляет собой риск для национальной безопасности. И армия США, и военно-морской флот запретили использование этого приложения на своих устройствах в конце 2019 года, назвав его киберугрозой. Во всех программах есть ошибки, и раскрытые уязвимости не говорят о том, что TikTok вообще является вредоносным. Но полученные данные показывают, что приложение для социальных сетей в данный момент заслуживает более пристального внимания.

«Целью нашего исследования действительно было понять, какой уровень безопасности и конфиденциальности обеспечивает TikTok», — говорит Одед Вануну (Oded Vanunu), руководитель отдела по исследованию уязвимостей в продукте Check Point.

Как только мы закончили исследование и поняли, что можем легко манипулировать учетными записями, мы сказали: Давайте остановимся на этом и поделимся информацией. Мы надеемся, что теперь больше исследователей будут проверять приложение и что TikTok увеличит цикл проверки безопасности».

Исследователи заметили, что TikTok предлагает на своем сайте функцию, позволяющую пользователям вводить свои телефонные номера и получать SMS-сообщение со ссылкой для загрузки приложения. Анализируя этот механизм, они обнаружили, что могут удаленно манипулировать словами в тексте, а также ссылкой для загрузки и отправлять их на любой телефонный номер. Оттуда они обнаружили, что могут создавать специальные ссылки для этих текстов, которые будут посылать команды в TikTok, если жертва уже загрузила приложение.

На практике злоумышленник мог бы переделать SMS-сообщение, нацеленное на существующих пользователей TikTok, а не только на пользователей первого эшелона, и эти тексты могли бы на законных основаниях поступать из инфраструктуры TikTok. Если пользователь TikTok перешел по одной из этих вредоносных ссылок, злоумышленник мог манипулировать ошибками в настройках браузера TikTok и механизмами аутентификации для манипулирования командами отправки своих учетных записей для добавления или удаления видео, принуждения учетной записи жертвы к просмотру других учетных записей, обнародования частного видео или фильтрации личных данных учетной записи жертвы, таких как имя и адрес электронной почты.

Для обеспечения вашей безопасности и конфиденциальности мы рекомендуем всегда использовать VPN для ПК

Вануну говорит, что TikTok отреагировал на разоблачения и исправил проблемы в течение нескольких недель.

«TikTok стремится защитить данные пользователей. Как и многие другие организации, мы призываем ответственных исследователей безопасности в частном порядке раскрывать нам уязвимости нулевого дня», — говорится в заявлении Люка Дешотельса (Luke Deshotels), член команды безопасности TikTok.

«Мы надеемся, что эта успешная резолюция будет способствовать дальнейшему сотрудничеству с исследователями в области безопасности». TikTok сообщил, что он изучил записи службы поддержки клиентов и не обнаружил «никаких закономерностей, которые указывали бы на то, что произошла атака или нарушение».


Несмотря на то, что TikTok становится все более популярным и тщательно изучается, не так уж и много публичных сообщений об обнаруженных в приложении ошибках. Совсем недавно, в начале сентября, исследователь в области безопасности Мелрой Боувз опубликовал результаты, согласно которым и iOS, и Android версии TikTok делают определенные запросы через незашифрованные подключения к Интернету, потенциально подвергая риску эту активность и некоторые данные, например, какие видео пользователи смотрят. Bouwes впервые связался с TikTok в июле по поводу полученных данных и сообщил, что пытался связаться с компанией еще три раза после этого в течение двух месяцев.

«Я так и не получил ответа», — сказал он. «Я не нашел ответственной процедуры раскрытия».

TikTok работал над продвижением позитивного и безопасного имиджа в США, чтобы противостоять обвинениям в недоверчивости. На прошлой неделе компания выпустила свой первый отчет по прозрачности, а сегодня она объявляет об обновлении Руководства для сообщества. Но сообщество исследователей безопасности только поверхностно провели свои исследования, по крайней мере публично, и не известно, что выяснится, если копнуть глубже.