Aplikace TikTok má více než 1 miliardu uživatelů a aktuálně jde o jednu z nejstahovanějších aplikací vůbec. TikTok používají hlavně teenageři a děti pro vytváření a sdílení zejména krátkých, a často osobních a velmi citlivých, videí.
Výzkumný tým Check Point Research objevil v aplikaci a infrastruktuře TikTok několik zranitelností, které bylo možné jednoduše zneužít pomocí SMS systému. Jedna z nejrychleji rostoucích aplikací na světě tak byla skutečně nebezpečná a zneužitelná. Útočníci mohli např. manipulovat daty (přidávat/mazat videa), nabourávat soukromí (měnit nastavení u videí ze soukromého na veřejné) a krást osobní data (celé jméno, e-mailovou adresu, datum narození).
Pro stažení aplikace TikTok obdrží nový uživatel odkaz prostřednictvím SMS po zadání telefonního čísla na stránce Tiktok.com. Výzkumný tým ale zjistil, že hackeři mohou SMS zprávami manipulovat a odesílat je na libovolné telefonní číslo jménem TikToku. Hackeři se tak mohou vydávat za TikTok a vkládat do zpráv škodlivé kódy, které smažou video, nahrají neautorizované video nebo změní u videí nastavení ze soukromého na veřejné.
Navíc podvodníci mohli donutit uživatele TikTok k návštěvě ovládaného webového serveru, což útočníkům umožní posílat žádosti jménem uživatele. Stejnou techniku šlo k přesměrování obětí na škodlivé webové stránky a řadě dalších útoků, včetně krádeží citlivých dat, aniž by o tom uživatelé věděli.
Aplikace byla opravena koncem loňského roku.
Demonstrace útoku:
