Команда исследователей Check Point Research обнаружила множество уязвимостей в приложении TikTok, часть которых они назвали критическими. Найденные уязвимости позволяли злоумышленникам захватывать учётные записи TikTok, удалять и загружать видео, а также извлекать личную информацию, например, адреса электронной почты.

Эксперты обнаружили, что одна из уязвимостей позволяла отправить SMS-сообщение на любой номер телефона от имени аккаунта TikTok.

«На сайте TikTok есть функция отправки сообщения самому себе для загрузки приложения. Злоумышленники могут перехватить HTTP-запрос и заменить в нём параметр download_url, добавив вредоносную ссылку. Приложение откроет браузер и перейдет на страницу, записанную в параметре из сообщения», — указано в статье, посвящённой найденным проблемам.

Также команда Check Point Research отмечает, что поддомен Tiktok Ads был уязвим для XSS, или межсайтового скриптинга — типа атаки, при которой вредоносные скрипты внедряются в безопасные веб-сайты. Точка внедрения XSS-атаки была найдена в функции поиска, сообщают исследователи. Помимо этого, обнаруженные уязвимости позволяли злоумышленникам создать видео от имени аккаунта TikTok, подписаться на жертву, а также сделать приватное видео общедоступным или извлечь конфиденциальную информацию о пользователе.

«Видео TikTok создали новый тренд, стиль, даже музыкальный жанр. Многие из нас используют приложение TikTok, чтобы делиться приятными моментами. Но, как показало исследование, между веселыми клипами и кражей приватной информации часто проходит тонкая грань. Пользователи подвергаются риску, даже если они находятся под защитой служб безопасности приложений. Это проблема, с которой многие организации сталкиваются во всем мире», — заключили исследователи.

Check Point Research проинформировала разработчиков TikTok о найденных уязвимостях. По информации экспертов, проблемы уже исправлены. Представители TikTok также попросили пользователей в дальнейшем сообщать об обнаруженных проблемах.

Приложение TikTok принадлежит китайской компании ByteDance. На сегодня оно насчитывает 1,5 млрд пользователей по всему миру. По состоянию на октябрь 2019 года TikTok стало одним из самых загружаемых приложений в мире. В России им пользуется около 8 млн человек.

В конце декабря Минобороны США запретило военнослужащим пользоваться TikTok на служебных устройствах. Американские власти считают приложение вероятной угрозой информационной безопасности. С 1 января военнослужащим запрещено устанавливать приложение на свои гаджеты. В противном случае им будет отказано в доступе к внутренней сети ведомства. При этом, как сообщал портал Military.com, ещё недавно рекрутеры армии США пользовались приложением, чтобы агитировать молодых людей вступать в ряды военных. Ограничения распространяются и на служащих Военно-морского флота. В случае невыполнения требований служащих заблокируют в интранете ВМС и корпуса морской пехоты (Navy Marine Corps Intranet). Также запрет на использование TikTok среди своих сотрудников ввели Госдепартамент и Министерство внутренней безопасности США.

Кроме того, TikTok привлёк внимание властей Южной Кореи, которые начали собственное расследование в отношении приложения. Как сообщает The Korea Times, приложение подозревают в отправке личной информации пользователей правительству Китая. Расследование будет вести агентство по регулированию СМИ Korea Communications Commission (KCC).

Комментарии (3)


  1. pyrk2142
    09.01.2020 06:03

    Представители TikTok также попросили пользователей в дальнейшем сообщать об обнаруженных проблемах.

    Зачем запускать Bug Bounty? Просто просим всех сообщать о проблемах и радуемся жизни. Имхо, если сейчас крупная компания не запускает Bug Bounty и при этом допускает уязвимости, то они сосредоточены на всём, что угодно, но не на борьбе с утечками данных.


    1. Lure_of_Chaos
      09.01.2020 09:00

      Спасибо и на том, что не тащат всех сообщивших об уязвимостях в суд за «незаконное проникновение»


    1. freeExec
      09.01.2020 18:28

      А зачем бороться с утечками, ведь за это ничего не будет.