Недостатки безопасности на платформе TikTok для обмена видео, которые могли позволить хакерам добавлять или удалять видео, изменять настройки конфиденциальности и похищать личные данные, были исправлены после того, как они были выделены разработчику ByteDance.
Исследователи в охранной фирме Check Point обнаружили множество проблем, все они созрели для использования хакерами.
Он сообщил ByteDance о проблемах в ноябре.
TikTok сказал, что они исправлены, и поблагодарил охранную фирму за предупреждение.
«Как и многие организации, мы призываем ответственных исследователей безопасности в частном порядке раскрывать нам уязвимости нулевого дня», — говорится в одном из них. заявление.
«Перед публичным раскрытием Check Point согласился, что все обнаруженные проблемы были исправлены в последней версии нашего приложения. Мы надеемся, что это успешное решение будет способствовать дальнейшему сотрудничеству с исследователями в области безопасности».
A Уязвимость нулевого дня означает уязвимость системы безопасности, которая фактически не использовалась хакерами.
Check Point добавил, что уязвимость существовала в течение большей части 2019 года, и сказал, что это подняло «серьезные вопросы» о том, имел ли какой-либо хакер обнаружил его.
В нем говорилось, что ByteDance «ответственно развернул» решение в течение месяца после того, как ему сообщили о проблеме.
Большая часть проблемы заключалась в том, как TikTok обрабатывал пользователей. номера мобильных телефонов, которые люди должны предоставить при регистрации в приложении.
Check Point обнаружил, что хакеры могут получить доступ к этим номерам и отправлять тексты от имени TikTok. В свою очередь, это позволило хакеру:
- удалять видео, изменять настройки на них с частного на общедоступное или загружать неавторизованные видео
- заставлять пользователя TikTok подключаться к веб-серверу, контролируемому хакер, позволяющий злоумышленнику отправлять нежелательные запросы от имени пользователя
- Перенаправлять пользователей на вредоносный веб-сайт, маскирующийся под TikTok
Консультант по безопасности, ведущий работу, Одед Вануну , сказал Би-би-си: «Было много предположений относительно того, насколько безопасен или небезопасен TikTok. Мы доказали, что действительно были серьезные проблемы с безопасностью с TikTok.
« У нас нет информации о TikTok. платформу, поэтому мы не можем сказать, если что-то было использовано на самом деле. Но представьте, сколько энергии было бы в руках кого-то, кто хотел бы распространять фальшивые новости на платформе ».
На прошлой неделе военные США сказали своим сотрудникам не использовать приложение, принадлежащее китайцам, на выпущенные правительством телефоны, из-за проблем безопасности и опасений по поводу возможных связей с китайским правительством.
Изначально популярная в Китае и других азиатских странах, платформа для создания коротких видео в последние годы получила огромный рост и сейчас загружено 1,5 миллиарда.
