TikTok, scovata falla nel "Trova Amici" che aggira la privacy - CorCom

DATA PROTECTION

TikTok, scovata falla nel “Trova Amici” che aggira la privacy

Secondo Check Point Research la vulnerabilità metteva a rischio le protezioni dell’app: un hacker avrebbe potuto accedere ai dati del profilo utente. Il social ha rilasciato l’aggiornamento di sicurezza

26 Gen 2021

Patrizia Licata

giornalista

TikTok ancora al centro delle polemiche sulla sicurezza, questa volta per una vulnerabilità, trovata nella funzione “Trova Amici” del social dei video brevi, che consentirebbe di bypassare le protezioni sulla privacy.

La nuova falla è stata rilevata da Check Point Research, la divisione threat intelligence di Check Point Software technologies, che già aveva scoperto una vulnerabilità di TikTok a cavallo tra 2019 e 2020.

Se lasciata senza patch, la vulnerabilità permetterebbe a un hacker di accedere ai dati del profilo di un utente e anche al numero di telefono associato al suo account, dando la possibilità di costruire un database da utilizzare per attività illecite.

I dettagli del profilo accessibili tramite questa falla includono: il numero di telefono, il nickname, le immagini del profilo e dell’avatar, gli Id utente unici e alcune impostazioni del profilo, come ad esempio quella che consente a un utente di essere un follower pubblico o anonimo.

Come l’hacker poteva sfruttare la vulnerabilità

  1. L’aggressore ha creato un elenco di dispositivi con i loro Id, utilizzati poi per la query dei server di TikTok.
  2. Poi ha creato una lista di token di sessione, ognuno valido per 60 giorni, e che servono per interrogare i server di TikTok.
  3. Ha bypassato il meccanismo Http della firma digitale di TikTok, utilizzando il proprio servizio di firma, eseguito in background.
  4. Infine, ha legato il tutto modificando le richieste Http, firmandole di nuovo e utilizzando vari token e Id per bypassare i sistemi di difesa di TikTok.

TikTok ha rilasciato subito la patch

Check Point Research ha comunicato le sue scoperte a ByteDance, il produttore di TikTok. Successivamente, è stato diffuso un aggiornamento per garantire la sicurezza degli utenti di TikTok.

WHITEPAPER
Quali sono le strategie da seguire per difendersi contro gli attacchi di phishing?
Sicurezza
Cybersecurity

“La sicurezza e la privacy della comunità di TikTok hanno la nostra massima priorità, e apprezziamo il lavoro di partner fidati come Check Point nell’identificare potenziali problemi in modo da poterli risolvere prima che colpiscano gli utenti. Continuiamo a rafforzare le nostre difese, sia aggiornando costantemente le nostre capacità interne come l’investimento in difese di automazione, sia lavorando con terze parti”.

Cybercriminali a caccia di dati: i consigli di Check Point

La nostra logica, questa volta, è stata quella di mettere a prova la privacy di TikTok. Eravamo curiosi di sapere se la piattaforma potesse essere usata dagli hacker per ottenere dati privati degli utenti; e la risposta è sì, in quanto siamo stati in grado di bypassare più meccanismi di difesa di TikTok”, spiega Oded Vanunu, Head of Products vulnerabilities research di Check Point. “Questa vulnerabilità avrebbe potuto permettere ad un aggressore di costruire un database dettagliato degli utenti che, con quel grado di informazioni sensibili, avrebbe permesso all’aggressore di eseguire una serie di attività criminali come lo spear phishing. Il nostro consiglio agli utenti di TikTok, e non solo, è quello di condividere i propri dati personali solo quando strettamente necessario e soprattutto di aggiornare sempre il sistema operativo e le applicazioni alle ultime versioni.”

@RIPRODUZIONE RISERVATA
Argomenti trattati

Aziende

C
Check Point
T
tikTok

Approfondimenti

D
dati
H
hacker
P
privacy
S
sicurezza