חולשה אבטחה חמורה באפליקציית טיקטוק תוקנה: עם יותר ממיליארד משתמשים, הרשת החברתית הסינית נחשבת לאחת הפופולריות בעולם, מה שהופך אותה למטרה פופולרית גם עבור האקרים. חוקרים ישראלים מצאו חולשה שהייתה יכולה לשמש לגניבת מידע של המשתמשים על ידי גורמים זדוניים. החומרה שלה נובעת מכך שכל מה שהיה צריך כדי לחדור לחשבון של המשתמש זה קישור שעליו הוא היה מקליק, למשל הודעת SMS על משלוח שהגיע עם קישור זדוני.
עוד בנושא:
המידע של המשתמשים כולל פרטים של הטלפון, פרטים של המשתמש, היסטוריית צפיות, חיפוש, זמן צפייה ועוד. על פניו לא מדובר בנתונים מאוד בעיתיים, אך נדב אביטל, ראש קבוצת המחקר בחברת הסייבר אימפרבה שגילתה את החולשה, מסביר שזה לא בדיוק כך. "החולשה הזו היא דוגמה מעולה לכך שפרטיות ואבטחה ברשתות חברתיות תלויות במידה רבה בחברות המספקות את השירות".
"שימוש לא בטוח בפונקציה שתלויה בקלט חיצוני גרם לדלף מידע אישי שהיה יכול לשמש האקרים למתקפות נוספת כגון פישינג, סחיטה או לחילופין להתקפות על מכשירים של משתמשים עם פרופיל גבוה", אומר אביטל, "אנו מעריכים את העובדה שטיקטוק פעלה ברצינות רבה לתקן את החולשה״.
רון מסאס, ראש צוות מחקר חולשות בחברה, הרחיב על הגילוי ומשמעויותיו:
עד כמה היה קל לנצל את החולשה?
מסאס: "יחסית קל, כדי לנצל את החולשה התוקף צריך לגרום למשתמשי טיקטוק להיכנס לקישור זדוני".
האם נצפה שימוש בה על ידי גורמים עוינים?
"בגלל שמדובר במתקפה בצד הלקוח (כלומר שמטווחת את המשתמש - ר''ק), קשה מאוד להגיד האם היא נוצלה ובאיזה היקף. לצורך העניין, גם לטיקטוק יהיה קשה לגלות מכיוון שזו חולשה שלא משאירה המון עקבות בצד השרת (הצד של החברה, ר''ק)".
החולשה לא חשפה סיסמאות, פרטי תשלום או מספרי טלפון?
"נכון, החולשה לא חשפה את הנתונים האלה".
האם המידע שנחשף בחולשה הוא בעצם המידע שטיקטוק מקבלת אליו גישה במהלך השימוש השוטף באפליקציה והוא פשוט נחשף להאקר?
"האקר היה נחשף לחלק מהמידע שחשוף לטיקטוק - ספציפית לאירועים שקשורים למעקב אחרי פעולות המשתמש (כמו איזה סרטונים נצפו ולכמה זמן, פרופילים בהם ביקר המשתמש, היסטוריית חיפושים ועוד). הבעיה היא שבעוד שטיקטוק משתמשת במידע הזה כדי לטייב את המערכת וחוויית המשתמש, האקר יכול לעשות שימוש זדוני במידע הזה ולבצע מתקפות נוספות כמו פישינג, סחיטה ועוד".