Ett stort säkerhetsbrist har upptäckts av säkerhetsforskare på Check Point Research. Det ger dem möjligheten att komma åt TikTok-användares videohanterare, publicera innehåll till dem, göra videor inspelade privat på den offentliga appen. Ännu värre är att de också kan komma åt profilerna för medlemmar på det sociala nätverket och på så sätt få sina personuppgifter, såsom namn, födelsedatum eller till och med sin e-post.
Enligt forskarna kan sårbarheten tillåta dem att enkelt locka offer genom att utnyttja ett av TikTok-appens alternativ: lösenordsåterställning genom att skicka en bekräftelsekod till deras telefonnummer. .
Hur forskare lyckades upptäcka säkerhetshål
För detta skickade Check Point ett falskt textmeddelande till användaren som innehöll en hackad nedladdningslänk, och låtsades vara en officiell kommunikation skickad av plattformen.
Bildkrediter: Kontrollera studieresultatet.När kontoägaren klickade på den här länken angav de sina inloggningsuppgifter.
Bildkrediter: Kontrollera studieresultatet.Forskarna kan sedan komma åt kontona och privatinspelade videor för att publicera dem, radera innehållet eller återställa personliga data för de hackade användarna.
TikTok uppmanar forskare att hitta andra säkerhetsbrister
TikTok kontaktades av Check Point-forskare den 15 november. Två veckor senare korrigerade det sociala nätverket säkerhetsbristen i den mest uppdaterade versionen av appen.
“TikTok har åtagit sig att skydda användardata. Vi uppmuntrar säkerhetsforskare att privat rapportera nolldagssårbarheter till oss, säger Luke Deshotels, en medlem av TikToks säkerhetsavdelning, i ett uttalande som vidarebefordrats av The Verge. Innan vi släppte den här historien för allmänheten kom vi överens med CheckPoint om att korrigera alla rapporterade problem i den senaste versionen av vår applikation. Vi hoppas att denna framgångsrika erfarenhet kommer att uppmuntra framtida samarbeten med säkerhetsforskare. »
TikTok, som har ägts av ByteDance sedan 2017 och har 625 miljoner aktiva användare varje månad, anklagas för att ha överfört medlemmars personuppgifter till kinesiska servrar, i en USA-ledd utredningsledare. Rykten tyder på att appens ägare kanske säljer appen till potentiella köpare, för att moderbolaget ska återställa sin image.
