אתר זה עושה שימוש בעוגיות על מנת להבטיח לך את חוויית הגלישה הטובה ביותר.
חוקרים זיהו פרצות אבטחה חמורות באפליקציית TikTok צילום: שאטרסטוק

חוקרים זיהו פרצות אבטחה חמורות באפליקציית TikTok

הפרצות אפשרו לבצע מגוון פעולות בחשבונות המשתמשים, להסיר ולשנות הגדרות פרטיות של סרטונים ואף לגנוב מידע אישי שהמשתמשים שיתפו בהרשמה לאפליקציה

08.01.2020, 15:23 | רפאל קאהאן
חוקרים ישראלים הודיעו היום (ד') על חשיפה של מספר חולשות חמורות באפליקציית המדיה החברתית הסינית טיקטוק. אלה מאפשרות לתוקפים לבצע פעולות שונות בחשבונות המשתמשים, כמו הוספה או מחיקה של סרטונים, שינוי הגדרות הפרטיות (פרטי לפומבי) וגניבה של פרטים אישיים שהוזנו ע"י המשתמשים בעת ההרשמה לאפליקציה.

קראו עוד בכלכליסט

טיקטוק, אשר בבעלות החברה הסינית בייטדאנס, היא אפליקציה פופולרית ביותר שלה למעלה ממיליארד משתמשים ב-150 מדינות. היא עקפה את אינסטגרם וסנאפצ'ט במדדים רבים ובנובמבר האחרון הפכה לאפליקציה עם הכי הרבה הורדות בחנויות האפליקציות השונות (למעלה מ-1.5 מיליארד הורדות). ואולם למרות הפופולריות שלה ארה"ב הזהירה לאחרונה מפני השימוש בה והפנטגון אף אסר על חיילי צבא ארה"ב מלהורידה לסמארטפונים שלהם.

הסרטונים שמאוחסנים באפליקציה מכילים תכנים רגישים הסרטונים שמאוחסנים באפליקציה מכילים תכנים רגישים הסרטונים שמאוחסנים באפליקציה מכילים תכנים רגישים

אך למרות זאת האפליקציה מוכרת היטב בקרב ילדים ובני הנוער אשר מפרסמים בה סרטונים קצרים, עד 60 שניות. היא מאפשרת, בין היתר, להוסיף מוזיקת רקע לסרטונים, לערוך את הסרטונים ולהוסיף אפקטים, ומתוקף כך היא מאחסנת כמויות עצומות של סרטונים ובכללותם תכנים רגישים של המשתמשים.

חוקרי הגנת הסייבר של צ'ק פוינט שחשפו את הפרצות, הסבירו שכדי לנצל אותן, על התוקף לשלוח הודעה עם לינק זדוני מתוך מערכת משלוח ההודעות של האפליקציה. הקלקה על הלינק איפשרה לתוקף להגיע לחשבון של הקורבן ולבצע שינויים בתוכן הקיים, ובכלל זאת מחיקת סרטונים, העלאת סרטונים לא מאושרים על ידי הקורבן והפיכת סרטונים פרטיים לפומביים. כמו כן, החוקרים גילו שאתר צדדי של האפליקציה https://ads.tiktok.com היה חשוף למתקפות שאפשרו לתוקפים לדלות פרטים אישיים אותם הקלידו משתמשי האפליקציה בעת ההרשמה, ובכלל זאת שמות, כתובות ותאריכי ימי הולדת.

צ'ק פוינט הודיעה לטיק טוק על ממצאיה וטיקטוק תיקנה את החולשות האמורות. ד"ר לוק דשוטלס (Luke Deshotels) מצוות אבטחת המידע של טיק טוק מסר: "טיקטוק מחוייבת להגנה על המידע שיש בה. בדומה לארגונים רבים אחרים, אנו מעודדים חוקרי אבטחת מידע להעביר לידינו את ממצאיהם ביחס לחולשות חדשות".

עודד ואנונו, ראש מחלקת חולשות מוצרים בצ'ק פוינט שעמד בראש המחקר: "פירצות אבטחה שמובילות לזליגת מידע רגיש הן תופעה שהולכת וצוברת תאוצה. מרבית המשתמשים באפליקציות הללו יוצאים מנקודת הנחה שהאפליקציות הפופולריות הן בטוחות במיוחד, אך האקרים משקיעים משאבים ומאמצים רבים בכדי לחדור אליהן וזאת בשל המידע האישי העצום שקיים בהן על כל משתמש ומשתמשת. המחקרים שלנו מוכיחים שגם האפליקציות הכי פופולריות בעולם נמצאות תחת סיכון".
שיתוף בטוויטר שיתוף בוואטסאפ שיתוף בפייסבוק שיתוף במייל

תגיות