Check Point onderzoekers hebben vier ernstige beveiligingslekken ontdekt op Tik Tok die gebruikersgegevens in gevaar brengen
Het was de populairste app van 2019, zal dat zeker zijn in 2020, heeft meer dan 1 miljard abonnees en is de enige app die momenteel in staat is om de Facebook-groep de stuipen op het lijf te jagen. Maar het is verre van perfect. Onderzoekers van Check Point Research hebben vier ernstige kwetsbaarheden gevonden in de TikTok-app en enkele problemen met de officiële website.
ByteDance, het Chinese bedrijf dat TikTok ontwikkelt, heeft de rapporten van Check Point opgepikt en de gebreken in de app gedicht door een update uit te brengen, en ook de problemen met de website verholpen. Iedereen die TikTok gebruikt, doet er daarom goed aan de app onmiddellijk te updaten, omdat de risico’s anders vrij groot zijn: TikTok kon vóór de update namelijk door hackers worden aangevallen met een eenvoudige spoofing-sms, die de gebruiker naar een kwaadaardige website bracht die de TikTok-startpagina nabootste.
De vier TikTok-kwetsbaarheden
Volgens Alon Boxiner, Eran Vaknin, Alexey Volodin, Dikla Barda en Roman Zaikin, de vijf onderzoekers die de vier ernstige bugs in de TikTok-app hebben gevonden, kan met een paar eenvoudige en minder eenvoudige stappen een TikTok-account worden overgenomen, kunnen video’s worden verwijderd en meer worden geüpload zonder toestemming van de gebruiker, kunnen privé- en verborgen video’s openbaar worden gemaakt en kan persoonlijke informatie die aan het account is gekoppeld, zoals privé-e-mailadressen, worden onthuld.
TikTok: pas op voor sms
Het enige wat je hoeft te doen om een TikTok-account te hacken, is een sms naar het slachtoffer sturen, waarin je hem uitnodigt om de app te downloaden en een video te bekijken. Deze functie is een van de door ByteDance gekozen methoden om nieuwe gebruikers uit te nodigen de dienst te gebruiken, en er is een speciaal veld op de officiële TikTok website voor het sms’en van video’s. Degenen die een dergelijk sms-bericht ontvangen, worden daarom meestal niet gealarmeerd. Check Point ontdekte echter dat het mogelijk was om sms-berichten te vervalsen zodat het leek alsof ze van TikTok afkomstig waren. Zodra de gebruiker op de valse link had geklikt, zou een hacker toegang kunnen krijgen tot delen van het TikTok-account. Check Point ontdekte ook dat de infrastructuur van TikTok een hacker in staat stelde om de reeds aangevallen gebruiker om te leiden naar een kwaadaardige website die leek op de homepage van TikTok.
TikTok’s reactie
Check Point ontdekte de vier ernstige beveiligingslekken bij TikTok in november 2019, maar hield ze geheim totdat het bedrijf in staat was om zijn app en website te patchen. “TikTok is toegewijd aan het beschermen van gebruikersgegevens,” legde het bedrijf uit in een notitie, “Net als veel organisaties moedigen we beveiligingsonderzoekers aan om zero-day kwetsbaarheden privé aan ons te onthullen. Voorafgaand aan de openbaarmaking heeft Check Point ermee ingestemd dat alle gemelde problemen zijn verholpen in de nieuwste versie van onze app. Wij hopen dat deze succesvolle openbaarmaking toekomstige samenwerking met cyberbeveiligingsonderzoekers zal aanmoedigen.