Súlyos hibát javított a TikTok

​A TikTok kapcsán egy veszélyes biztonsági hiba látott napvilágot, amelynek kihasználásával olyan profiladatok is elérhetővé váltak, amiket a felhasználók nem osztottak meg nyilvánosan.
 

A Check Point már régebb óta rendszeresen vizsgálja a TikTokhoz kapcsolódó infrastruktúra, valamint a webes és mobilos alkalmazások biztonságát. Először 2019 novemberében akadt egy súlyos hibára az egyre népszerűbbé váló közösségi szolgáltatásban. Akkor az a sérülékenység a TikTok SMS-rendszerét érintette, és a kihasználásával feltöltött videók válhattak jogosulatlanul törölhetővé, vagy éppen teljesen nyilvánossá tehetővé.
 
A napokban orvosolt TikTok hibára is a Check Point kutatói figyeltek fel. Ezúttal egy olyan sebezhetőségről van szó, amely az ismerősök keresését szolgáló (Find Friends) funkció kapcsán merült fel. A biztonsági cég szerint a rendellenesség alapvetően olyan adatokhoz adhat hozzáférést a támadók számára, amelyeket alapesetben csak a profil tulajdonosa láthatna. Így például megkaparintható a telefonszám, a becenév, bizonyos profilbeállítások és a felhasználó egyedi TikTok azonosítója is. Ezekkel az adatokkal pedig különféle visszaélések, csalások követhetők el, és akár célzott adathalász támadásokhoz is vezethetnek.  
A szóban forgó biztonsági rést a TikTok fejlesztői már befoltozták, így az már nem jelent veszélyt. A hibajavítást követően a Check Point egy részletes ismertetőt is kiadott, amiben leírta, hogy a sérülékenység több lépésben (eszközazonosítók, munkamenetekhez tartozó tokenek és HTTP-alapú adatforgalom manipulálásával) válhat kihasználhatóvá.
 
A TikTok tavaly több irányba is elindult annak érdekében, hogy a népes felhasználói táborának adatait megfelelően tudja védeni. 2020 áprilisában egy privát (meghívottak számára elérhető) hibavadász programot indított, majd tavaly októberben a HackerOne platformon keresztül is vizsgálhatóvá tette a mobilos és webes alkalmazásait.