TikTok sta facendo sempre più parlare di sé e, sfortunatamente, non in maniera positiva. Dopo il caso della bambina che ha partecipato a una sfida al limite sul social perdendo la vita, è stata scoperta una nuova falla di sicurezza su TikTok che, se sfruttata, consente di accedere a dati sensibili degli utenti.
I dettagli del profilo accessibili tramite questa falla di sicurezza di TikTok includono: il numero di telefono, il nickname, le immagini del profilo e dell’avatar, gli ID utente unici e alcune impostazioni del profilo, come ad esempio quella che consente a un utente di essere un follower pubblico o anonimo.
Facciamo presente che la falla è stata risolta con l’ultimo aggiornamento dell’app ma è stato possibile sfruttarla per diverso tempo prima che venisse scoperta.
I ricercatori di Check Point Research che hanno scoperto la falla hanno anche indicato come gli hacker traevano beneficio da essa:
- L’aggessore ha creato un elenco di dispositivi con i loro ID, utilizzati poi per la query dei server di TikTok.
- Dopodiché ha creato una lista di token di sessione (ognuno valido per 60 giorni) che saranno utilizzati per interrogare i server di TikTok.
- Ha bypassato il meccanismo HTTP della firma digitale di TikTok utilizzando il proprio servizio di firma, eseguito in background.
- Infine, ha legato il tutto modificando le richieste HTTP, firmandole di nuovo e utilizzando vari token e ID per bypassare i sistemi di difesa di TikTok.
“La nostra logica, questa volta, è stata quella di mettere a prova la privacy di TikTok. Eravamo curiosi di sapere se la piattaforma potesse essere usata dagli hacker per ottenere dati privati degli utenti; e la risposta è sì, in quanto siamo stati in grado di bypassare più meccanismi di difesa di TikTok. Questa vulnerabilità avrebbe potuto permettere ad un aggressore di costruire un database dettagliato degli utenti che, con quel grado di informazioni sensibili, avrebbe permesso all’aggressore di eseguire una serie di attività criminali come lo spear phishing. Il nostro consiglio agli utenti di TikTok, e non solo, è quello di condividere i propri dati personali solo quando strettamente necessario e soprattutto di aggiornare sempre il sistema operativo e le applicazioni alle ultime versioni.” – Oded Vanunu, Head of Products Vulnerabilities Research di Check Point
