שורה של חולשות אבטחה חמורות התגלו באפליקציית טיק טוק, בה משתמשים יותר ממיליארד בני אדם ברחבי העולם - רבים מהם ילדים ובני נוער. החולשות התגלו על-ידי חברת אבטחת הסייבר צ'ק פוינט והן תוקנו על-ידי ByteDance, החברה הסינית שטיק טוק נמצאת בבעלותה.
טיק טוק מאפשרת למשתמשים לפרסם סרטונים קצרים, עד לאורך של 60 שניות, ולהוסיף להם אפקטים, מוזיקת רקע ועוד. "יש שם כמויות עצומות של מידע", אומר עודד ואנונו, ראש מחלקת חולשות מוצרים בצ'ק פוינט, "המטרה של המחקר שלנו הייתה להבין אם המידע הזה שמור כראוי - זאת אומרת שהוא לא נגיש ואי אפשר לשנות אותו".
התוצאות של המחקר מדאיגות למדי: שורה של חולשות שהתגלו באפליקציה איפשרו לגורמים זדוניים להשיג שליטה מלאה על החשבונות של הקורבנות וכך למחוק סרטונים שהעלו, להעלות סרטונים בשמם וגם להפוך סרטונים פרטיים שלהם לפומביים. חולשה נוספת התגלתה ב-API, ממשק תכנות יישומים של האפליקציה, והיא איפשרה לתוקפים לקבל מידע אישי על משתמשים - אימייל, כתובת, תאריך לידה - באמצעות הקשת מספר הטלפון שלהם בלבד.
ואנונו מסביר כי המשתמשים בטיק טוק מזדהים באמצעות מספר הטלפון שלהם והאפליקציה נוהגת לשלוח להם עדכונים בהודעות SMS. חולשת אבטחה שהתגלתה על-ידי החוקרים אפשרה לגורמים זדוניים לחדור למערכת של טיק טוק ולשלוח הודעות שנראות לגיטימיות לחלוטין. באמצעות הודעות אלה היה ניתן לשלוח לינק זדוני, שלחיצה עליו הייתה מאפשרת לתוקף להשתלט באופן מלא על החשבון של הקורבן. ויותר מדאיג: גורמים זדוניים היו יכולים לנצל את המערכת של טיק טוק כדי לשלוח למשתמשים לינק זדוני שידביק אותם בתוכנת ריגול.
מתקפה על תשתיות
חולשות האבטחה הללו חמורות במיוחד הן בגלל מספר המשתמשים העצום בטיק טוק - כאמור, מיליארד בני אדם ברחבי העולם - והן בגלל שמשתמשים רבים באפליקציה, אם לא רובם המוחלט, הם ילדים ובני נוער. גורמים זדוניים היו יכולים להשתיל בחשבונות של בני נוער סרטונים רגישים, או להפוך סרטונים אינטימיים שלהם מפרטיים לפומביים.
ואנונו מצביע על מגמה בעולם הסייבר: כדי לעקוף טכנולוגיות הגנה, האקרים תוקפים משתמשים באמצעות התשתיות של השירותים והאפליקציות עצמן. "בעבר היית שולח מיליון אימיילים ומרים שרתים צד-שלישי", הוא אומר, "היום אנחנו רואים שהאקרים תוקפים תשתיות ומשם מתחילים להוציא פעילויות".
טיק טוק, כאמור, תיקנה את חולשות האבטחה. ד"ר לוק דשוטלס מצוות אבטחת המידע של האפליקציה מסר: "טיקטוק מחוייבת להגנה על המידע שיש בה. בדומה לארגונים רבים אחרים, אנו מעודדים חוקרי אבטחת מידע להעביר לידינו את ממצאיהם ביחס לחולשות חדשות. צ'ק פוינט הכירה בכך שכל החולשות שנמצאו על ידיה תוקנו בגרסה האחרונה של האפליקציה ואנו מקווים שפתרון מוצלח זה יעודד עוד שיתופי פעולה עם חוקרי אבטחת מידע נוספים".
דאגה עולמית
טיק טוק מעוררת בחודשים האחרונים דאגה ברחבי העולם, ובמיוחד בארה"ב, בגלל העובדה שהיא נמצאת בבעלות סינית. בנובמבר חשפה סוכנות הידיעות רויטרס כי הממשל האמריקני פתח בבדיקה על מנת לברר אם רכישת האפליקציה מיוזיקלי על-ידי ByteDance תמורת מיליארד דולר ב-2017 הובילה לפגיעה בביטחון הלאומי. מיוזיקלי מותגה מחדש כטיק טוק ב-2018.
בחודש שעבר אסרו הצבא והצי האמריקני על עובדים וחיילים להשתמש באפליקציה בטלפונים ממשלתיים. מחוקקים בארה"ב הביעו בתקופה האחרונה חשש שטיק טוק מצנזרת תוכן פוליטי ותהו אם היא שומרת כראוי על המידע של משתמשיה.