TikTok: una falla permetteva di accedere a dati sensibili, anche il numero di telefono

TikTok: una falla permetteva di accedere a dati sensibili, anche il numero di telefono

Una falla nella funzione "Trova Amici" di TikTok consentiva a malintenzionati di accedere ai dettagli del profilo di un utente e anche al numero di telefono associato. Un aggiornamento ha risolto il problema.

di pubblicata il , alle 16:01 nel canale Sicurezza
TikTok
 

Una vulnerabilità nell'app TikTok consentiva potenzialmente a un malintenzionato di accedere a informazioni sensibili degli utenti. Il problema, identificato da Check Point Research (CPR), è stato comunicato a ByteDance e risolto con un aggiornamento dell'app. La falla, trovata nella funzione "Trova Amici" di TikTok, consentiva di bypassare le protezioni sulla privacy, dando così accesso a dettagli del profilo di un utente e anche al numero di telefono associato al suo account. Un malintenzionato, in questo modo, avrebbe potuto creare un database da usare per attività illecite.

I dettagli del profilo accessibili tramite questa vulnerabilità includevano: il numero di telefono, il nickname, le immagini del profilo e dell'avatar, gli ID utente unici e alcune impostazioni del profilo, come ad esempio quella che consente a un utente di essere un follower pubblico o anonimo.

Secondo Check Point Research, per sfruttare la falla un malintenzionato avrebbe dovuto (qui tutti i dettagli tecnici):

  • Creare un elenco di dispositivi (device ID) da usare per interrogare i server di TikTok
  • Creare una lista di token di sessione (ognuno valido per 60 giorni) usabili per interrogare i server di TikTok
  • Bypassare il meccanismo HTTP della firma digitale di TikTok usando il proprio servizio di firma, eseguito in background
  • Concatenare il tutto modificando le richieste HTTP, firmandole di nuovo e usando vari token e ID per bypassare i sistemi di difesa di TikTok

"Eravamo curiosi di sapere se la piattaforma potesse essere usata dagli hacker per ottenere dati privati degli utenti; e la risposta è sì, in quanto siamo stati in grado di bypassare più meccanismi di difesa di TikTok", ha dichiarato Oded Vanunu, Head of Products Vulnerabilities Research di CPR.

"Questa vulnerabilità avrebbe potuto permettere ad un aggressore di costruire un database dettagliato degli utenti che, con quel grado di informazioni sensibili, avrebbe permesso all'aggressore di eseguire una serie di attività criminali come lo spear phishing. Il nostro consiglio agli utenti di TikTok, e non solo, è quello di condividere i propri dati personali solo quando strettamente necessario e soprattutto di aggiornare sempre il sistema operativo e le applicazioni alle ultime versioni".

TikTok sottolinea che "la sicurezza e la privacy della comunità hanno la nostra massima priorità, e apprezziamo il lavoro di partner fidati come Check Point nell'identificare potenziali problemi in modo da poterli risolvere prima che colpiscano gli utenti. Continuiamo a rafforzare le nostre difese, sia aggiornando costantemente le nostre capacità interne come l'investimento in difese di automazione, sia lavorando con terze parti".

Aggiornare le app e condividere meno dati personali possibili è buona norma, d'altronde il pericolo è sempre dietro l'angolo come ci dimostrano i numeri di telefono di oltre 530 milioni di utenti Facebook venduti su Telegram.

2 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Axios200626 Gennaio 2021, 17:04 #1
Chi si iscrive a TikTok, si merita questo e molto piu...
Sandro kensan26 Gennaio 2021, 18:24 #2
Io sono iscritto a tik tok, c'è una utente molto simpatica che seguo.

Però bisogna dire che è un perditempo e poi io entro in TT solo tramite browser e la mia login è la mia email pubblica, niente telefono. Questo è quel che permette TT, quindi onore al merito.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^