פרצת אבטחה חמורה באפליקציית "טיקטוק"

חוקרי צ'ק פוינט איתרו חולשות אבטחה באפליקצייה הפופולרית- טיקטוק. החולשות, שתוקנו כבר, איפשרו לגנוב מידע אישי שהזינו המשתמשים.

ערוץ 7 , י"א בטבת תש"פ

ילדים בטלפון סלולרי
ילדים בטלפון סלולרי
צילום: istock

חוקרי הגנת הסייבר של חברת צ'ק פוינט, אלון בוקסינר, ערן וקנין, אלכסיי וולודין, דיקלה ברדה ורומן זאיקין, חשפו חולשות משמעותיות באפליקציה הפופולרית טיקטוק.

החולשות שנמצאו מאפשרות לתוקפים לבצע פעולות בחשבונות של משתמשים כגון הוספה ומחיקה של סרטונים, שינוי הגדרת הפרטיות של הסרטונים (פרטי לפומבי) ואף גניבה של פרטים אישיים אשר הוזנו ע"י המשתמשים בעת ההרשמה לאפליקציה.

טיקטוק, אשר בבעלות החברה הסינית בייטדאנס, הינה אפליקציה פופולרית ביותר שלה למעלה ממיליארד משתמשים ב -150 מדינות. האפליקציה עקפה את אינסטגרם וסנאפצ'ט במדדים רבים ובנובמבר האחרון הפכה לאפליקציה שלה הכי הרבה הורדות בחנויות האפליקציות השונות (למעלה מ-1.5 מיליארד הורדות).

האפליקציה מוכרת היטב בקרב ילדים ובני הנוער אשר מפרסמים בה סרטונים קצרים, עד 60 שניות. היא מאפשרת, בין היתר, להוסיף מוזיקת רקע לסרטונים, לערוך את הסרטונים ולהוסיף אפקטים, ומתוקף כך היא מאחסנת כמויות עצומות של סרטונים ) ובכללותם סרטונים רגישים) של המשתמשים.

חוקרי הגנת הסייבר של צ'ק פוינט איתרו חולשות אבטחה חמורות באפליקציה שאפשרו לתוקף לשלוח הודעה עם לינק זדוני מתוך מערכת משלוח ההודעות של האפליקציה. הקלקה על הלינק איפשרה לתוקף להגיע לחשבון של הקורבן ולבצע מניפולציות בתוכן הקיים בחשבון הקורבן, ובכלל זאת מחיקת סרטונים, העלאת סרטונים לא מאושרים על ידי הקורבן והפיכת סרטונים פרטיים לפומביים. כמו כן, החוקרים גילו שאתר משנה של האפליקציה https://ads.tiktok.com היה חשוף למתקפות שאפשרו לתוקפים לדלות פרטים אישיים אותם הקלידו משתמשי האפליקציה בעת ההרשמה , ובכלל זאת שמות, כתובות ותאריכי ימי הולדת.

צ'ק פוינט הודיעה לטיק טוק על ממצאיה וטיקטוק תיקנה את החולשות האמורות. ד"ר לוק דשוטלס (Luke Deshotels) מצוות אבטחת המידע של טיק טוק מסר: "טיקטוק מחוייבת להגנה על המידע שיש בה. בדומה לארגונים רבים אחרים, אנו מעודדים חוקרי אבטחת מידע להעביר לידינו את ממצאיהם ביחס לחולשות חדשות. צ'ק פוינט הכירה בכך שכל החולשות שנמצאו על ידיה תוקנו בגרסא האחרונה של האפליקציה ואנו מקווים שפתרון מוצלח זה יעודד עוד שיתופי פעולה עם חוקרי אבטחת מידע נוספים".

עודד ואנונו, ראש מחלקת חולשות מוצרים בצ'ק פוינט שעמד בראש המחקר: "פירצות אבטחה שמובילות לזליגת מידע רגיש הן תופעה שהולכת וצוברת תאוצה. מרבית המשתמשים באפליקציות הללו יוצאים מנקודת הנחה שהאפליקציות הפופולריות הן בטוחות במיוחד, אך האקרים משקיעים משאבים ומאמצים רבים בכדי לחדור אליהן וזאת בשל המידע האישי העצום שקיים בהן על כל משתמש ומשתמשת. המחקרים שלנו מוכיחים שגם האפליקציות הכי פופולריות בעולם נמצאות תחת סיכון".


הצעות והערות ניתן לשלוח לדואר אלקטרוני: computers@inn.co.il