محققان امنیت سایبری از Imperva نقصی را در اپلیکیشن محبوب رسانههای اجتماعی TikTok کشف کردند که میتوانست به عوامل تهدید اجازه دهد دادههای حساس را از دستگاههای قربانی استخراج کنند تا در حملات سرقت هویت، فیشینگ یا باجگیری مورد استفاده قرار گیرند.
این آسیبپذیری که از آن زمان برطرف شده است، در نحوه مدیریت پیامهای دریافتی توسط اپلیکیشن پیدا شده است. در توضیح این روش، محققان گفتند که مهاجمان میتوانند از طریق API PostMessage یک پیام مخرب به برنامه وب TikTok ارسال کنند که از هر گونه اقدامات امنیتی عبور میکند.
مدیریت رویداد پیام، پیام را پردازش می کند و آن را ایمن می داند و به مهاجم اجازه دسترسی به اطلاعات ارزشمند را می دهد.
جزئیات حساب کاربری
با سوء استفاده از این آسیبپذیری، مهاجمان میتوانند به گنجینهای از دادههای ارزشمند، مانند دادههای دستگاه کاربر (نوع دستگاه، سیستم عامل، مرورگر استفادهشده، و غیره)، ویدیوهای مشاهده شده (ویدیوهایی که قربانی دیده است)، زمان صرف شده دسترسی پیدا کنند. در هر ویدیو، دادههای حساب کاربری (نامهای کاربری، ویدیوها، سایر جزئیات حساب)، عبارتهای جستجو (آنچه کاربر در پلتفرم جستجو کرده است).
حتی بدون آسیبپذیریها، TikTok یک برنامه بحثبرانگیز است، به بیان ملایم. این توسط یک شرکت چینی به نام ByteDance ساخته شده است و بیش از 1.5 میلیارد کاربر دارد (بیش از 150 میلیون فقط در ایالات متحده).
اخیراً، دولت ایالات متحده شروع به تحلیل دقیق و ممنوعیت شرکتهای چینی کرده است، و ادعا میکند که دولت آنها کنترل محکمی بر آنها دارد و میتواند آنها را مجبور کند که اجازه دسترسی غیرمجاز به درب پشتی را در هر نقطهای بدهند.
به همین دلیل هواوی از توسعه زیرساخت 5G در ایالات متحده منع شد. در مورد TikTok، دولت ایالات متحده ابتدا این شرکت را مجبور کرد که تمام دادهها را در کشور ذخیره کند، و سپس اخیراً به کارمندان خود گفته بود که برنامه را از دستگاههای دولتی حذف کنند، به دلیل مسائل مربوط به امنیت ملی.
TikTok، مانند بسیاری دیگر از شرکت های چینی، هرگونه دخالت در هر گونه تخلف را رد می کند.
