TikTok, consentiva accesso a dati sensibili degli utenti. La piattaforma: vulnerabilità sanata

TikTok, permetteva accesso a dati sensibili degli utenti tramite la funzione 'Trova Amici'

TikTok l'app del momento, permetteva di accedere a dati sensibili degli utenti, compresi quelli molto personali come il numero di telefono e le foto. Il social network cinese già sotto accusa per i recenti fatti di cronaca legati alla morte di Antonella, la ragazzina di 11 anni morta a Palermo forse per un gioco legato all'app, ora scopre le sue vulnerabilità nella sicurezza. Il problema è stato individuato dai ricercatori di Check Point Software Technologies nella funzione 'Trova Amici' del social. Se lasciata senza aggiornamenti, spiegano, potenzialmente poteva consentire "di bypassare le protezioni sulla privacy create per difendere gli utenti dell'app, dando la possibilità di costruire un database da utilizzare per attività illecite". I ricercatori  hanno comunicato la scoperta a ByteDance, il proprietario dell'app TikTok, che ha rilasciato un aggiornamento per garantirne la sicurezza. Non è la prima volta che il social presenta dei problemi, tra il 2019 e il 2020, i ricercatori di Check Point avevano già individuato un'altra vulnerabilità presente nei video di TikTok. 

TikTok, come l’hacker sfruttava la vulnerabilità

"L’aggressore ha creato un elenco di dispositivi con i loro ID, utilizzati poi per la query dei server di TikTok. Dopodiché ha creato una lista di token di sessione (ognuno valido per 60 giorni) che saranno utilizzati per interrogare i server di TikTok. - spiega Check Point  - Ha bypassato il meccanismo HTTP della firma digitale di TikTok utilizzando il proprio servizio di firma, eseguito in background. Infine, ha legato il tutto modificando le richieste HTTP, firmandole di nuovo e utilizzando vari token e ID per bypassare i sistemi di difesa di TikTok".Grazie a questa "falla" - spiegano i ricercatori – si poteva accedere facilmente a dati sensibili come  numero di telefono, nickname, immagini del profilo e dell'avatar, id utente unici e alcune impostazioni del profilo, come ad esempio quella che consente a un utente di essere un follower pubblico o anonimo.  

"Questa vulnerabilità – spiega Oded Vanunu, Head of products vulnerabilities research di Check Point - avrebbe potuto permettere ad un aggressore di costruire un database dettagliato degli utenti ed eseguire una serie di attività criminali come lo spear phishing. Il nostro consiglio agli utenti di TikTok e non solo, è di condividere i propri dati personali solo quando strettamente necessario e soprattutto aggiornare sempre il sistema operativo e le app alle ultime versioni"

TikTok: la precisazione della piattaforma

"La sicurezza e la privacy della comunità hanno la nostra massima priorità, apprezziamo il lavoro di Check Point nell'identificare potenziali problemi in modo da poterli risolvere prima che colpiscano gli utenti. Continuiamo a rafforzare le nostre difese, sia aggiornando costantemente le nostre capacità interne come l'investimento in difese di automazione, sia lavorando con terze parti", sottolinea Tiktok.