TikTok è la terza app più scaricata nel 2019: è normale sia sotto la lente d’ingrandimento di ricercatori e venga sottoposta a un attento esame della privacy degli utenti. Non solo per la censura i contenuti politicamente controversi, ma anche perché la sicurezza di miliardi di utenti sarebbe ora in discussione: ma è vero che è possibile hackerare qualsiasi account con un semplice SMS?
Le vulnerabilità di TikTok
La famosa app cinese di condivisione video virale contiene vulnerabilità potenzialmente pericolose che potrebbero consentire a criminali informatici di dirottare qualsiasi account conoscendo anche solo il numero mobile di vittime designate.
Il sito The Hacker News ha pubblicato un articolo nel quale si parla di un rapporto condiviso in esclusiva dai ricercatori di Check Point: questi ultimi hanno rivelato che il concatenamento di più vulnerabilità ha permesso loro di eseguire in remoto un codice dannoso, eseguendo azioni indesiderate senza il consenso delle vittime.
Le vulnerabilità segnalate includono problemi come lo spoofing dei link degli SMS, il reindirizzamento aperto e gli script cross-site (XSS) che tuttavia, se combinati, potrebbero consentire a un utente remoto di eseguire attacchi ad alto impatto.
Profilo TikTok hackerato, ecco cosa può succedere:
- Eliminazione di tutti i video dal profilo TikTok delle vittime;
- Caricamento di video non autorizzati;
- Pubblicazione di video privati;
- Rivelazione delle informazioni personali salvate sull’account, come indirizzi privati ed e-mail.
Ti sta piacendo l’articolo? Iscriviti alla newsletter di Noi Sicurezza per ricevere altri consigli interessanti sulla sicurezza! (promettiamo di non essere troppo invadenti 😉 Buona continuazione di lettura!
[wysija_form id=”1″]
Vulnerabilità di TikTok nel sistema di SMS
L’attacco sfrutta un sistema SMS non sicuro che TikTok offre sul suo sito Web per consentire agli utenti di inviare un messaggio al proprio numero di telefono con un collegamento per scaricare l’applicazione di condivisione video.
Secondo i ricercatori, un utente malintenzionato può inviare un messaggio SMS a qualsiasi numero di telefono per conto di TikTok con un URL modificato che dirotta su una pagina malevola progettata per eseguire il codice su un dispositivo che ha l’app TikTok già installata.
Il commento dei ricercatori
L’attacco potrebbe consentire agli hacker di eseguire codice JavaScript per conto delle vittime non appena fanno clic sul link inviato attraverso il server TikTok, come mostrato poco fa nel video.
“Con la mancanza di un meccanismo di difesa contro la contraffazione delle richieste Cross-Site, ci siamo resi conto che potevamo eseguire il codice JavaScript ed eseguire azioni per conto della vittima, senza il suo consenso“, hanno detto i ricercatori in un post sul blog pubblicato oggi.
“Il reindirizzamento dell’utente a un sito Web dannoso eseguirà il codice JavaScript e invierà richieste a Tiktok con i cookie delle vittime“.
Check Point ha responsabilmente segnalato queste vulnerabilità a ByteDance, lo sviluppatore di TikTok, a fine novembre 2019, la quale ha poi rilasciato entro un mese una versione aggiornata della sua app mobile per proteggere i suoi utenti dagli hacker.
Se non stai utilizzando l’ultima versione di TikTok disponibile negli app store ufficiali per Android e iOS, il consiglio è di scaricarla il prima possibile per tornare a goderti l’app in tutta sicurezza.
E, com’è probabile, se la usa tuo figlio o tua figlia, controlla che anche la sua app sia aggiornata all’ultima versione!
Interessato a un’analisi di Cyber Security? Chiedi supporto al team di Noi Sicurezza:
CHIEDI INFORMAZIONI