Σύμφωνα με μία νέα αναφορά διαδικτυακής ασφαλείας, πολλαπλά ελαττώματα ασφαλείας της δημοφιλούς κινεζικής εφαρμογής TikTok στα κινητά τηλέφωνα, επιτρέπουν σε χάκερ να υποκλέπτουν λογαριασμούς και να εκμεταλλεύονται τα προσωπικά δεδομένα χρηστών.
Η αναφορά της Ισραηλινής εταιρείας διαδικτυακής ασφαλείας Checkpoint βρήκε μία σειρά σφαλμάτων που μπορούν να επιτρέψουν σε χάκερς να διαχειριστούν τους λογαριασμούς των χρηστών, να ανεβάσουν και να διαγράψουν βίντεο και να αποκαλύψουν απόρρητα δεδομένα όπως ημερομηνία γέννησης, πληροφορίες συναλλαγών και διευθύνσεις email.
Η κινεζική πλατφόρμα ανταλλαγής βίντεο μικρής διαρκείας – που αυτή τη στιγμή βρίσκεται υπό αυστηρό έλεγχο για λόγους εθνικής ασφάλειας – έγινε πολύ δημοφιλής το 2019 και ήταν μία από τις πιό ‘κατεβασμένες’ εφαρμογές του Οκτωβρίου παγκοσμίως. Σύμφωνα με την εταιρεία, έχει 26,5 εκατομμύρια ενεργούς χρήστες τον μήνα στις Ηνωμένες Πολιτείες.
Σύμφωνα με το BBC, oι ερευνητές είπαν ότι τα ζητήματα ασφαλείας υπήρχαν το μεγαλύτερο διάστημα του 2019, και δημιούργησαν σοβαρά ερωτηματικά σχετικά με το αν κάποιος έχει πέσει θύμα.
Μετά τη δημοσίευση της αναφοράς, ο Luke Deshotels, ένας εκπρόσωπος της TikTok, δήλωσε ότι όλα τα ζητήματα ασφάλειας που εντοπίστηκαν από την εταιρεία διορθώθηκαν στην τελευταία αναβάθμιση της εφαρμογής.
Ένα από τα ‘παραθυράκια’, με την ιδιότητα πλαστογράφησης συνδέσμων SMS, δίνει τη δυνατότητα στους εισβολείς να στείλουν ψεύτικα μηνύματα σε οποιονδήποτε αριθμό τηλεφώνου παριστάνοντας ότι προέρχονται από το TikTok.
Στην αναφορά επισημάνθηκε, ότι η λειτουργία μηνυμάτων στην αρχική σελίδα της εφαρμογής επιτρέπει στους χρήστες να στέλνουν στους εαυτούς τους ένα κείμενο για να κατεβάσουν την εφαρμογή. Εκμεταλευόμενοι αυτή τη λειτουργία, οι χάκερς θα μπορούσαν να στείλουν μηνύματα που εμπεριέχουν κακόβουλους συνδέσμους, που φανερώνουν τα στοιχεία σύνδεσης του χρήστη μόλις εκείνος έκανε κλικ πάνω σε κάποιο τέτοιο σύνδεσμο.
Οι ερευνητές επίσης βρήκαν μία αδυναμία στην υποδομή της TikTok, η οποία θα μπορούσε να δώσει τη δυνατότητα στους εισβολείς να ανακατευθύνουν τους χρήστες σε κακόβουλες ιστοσελίδες που παρουσιάζονται ως νόμιμες.
Μέσα από ένα ‘παραθυράκι’ στον υποτομέα(subdomain) των διαφημίσεων της TikTok, οι ερευνητές μπόρεσαν να ανακαλέσουν προσωπικές πληροφορίες από τους λογαριασμούς των χρηστών, περιλαμβανομένης της ημερομηνίας γέννησης.
Οι ερευνητές μπόρεσαν επίσης να παραβιάσουν την εφαρμογή, βάζοντας σε αυτήν κακόβουλο κώδικα, επιτρέποντάς τους να κάνουν ενέργειες για λογαριασμό του θύματος, όπως τη δημιουργία βίντεο, τη δημοσιοποίηση ενός ιδιωτικού βίντεο και να εγκρίνουν τα αιτήματα των υποψήφιων φίλων.
Ο Oded Vanunu, επικεφαλής της ομάδας έρευνας σφαλμάτων των προϊόντων της Checkpoint, είπε στις New York Times ότι τα σφάλματα που εντόπισαν ήταν «όλα θεμελιώδη στα συστήματα της TikTok».
«Επιτήδειοι ξοδεύουν μεγάλα χρηματικά ποσά και κάνουν τεράστιες προσπάθειες για να διεισδύσουν σε τέτοιες μεγάλες εφαρμογές. Αλλά οι περισσότεροι χρήστες θεωρούν ότι η εφαρμογή που χρησιμοποιούν τους προστατεύει,» είπε ο Vanunu σε μία δήλωση του.
Η Check Point ειδοποίησε την ByteDance, στην οποία ανήκει η TikTok, τον Νοέμβριο, σύμφωνα με το BBC.
Ρίσκα ασφαλείας
Τους τελευταίους μήνες η TikTok εμπλέκεται σε αντιπαραθέσεις σχετικά με τον κίνδυνο χρήση της όσον αφορά θέματα ασφάλειας.
Υπηρεσίες του στρατού των ΗΠΑ ζήτησαν από το προσωπικό τους να διαγράψει την εφαρμογή από τα τηλέφωνα που τους έχουν δοθεί από την κυβέρνηση ύστερα από μία διακύρηξη του Πενταγώνου που δημοσιεύτηκε στα μέσα Δεκεμβρίου.
Το Υπουργείο Αμύνης (των Ηνωμένων Πολιτειών) προειδοποίησε για «ενδεχόμενους κινδύνους» να εκτεθούν οι προσωπικές πληροφορίες των χρηστών μέσω της εφαρμογής.
Η Επιτροπή Ξένων Επενδύσεων στις Ηνωμένες Πολιτείες ξεκίνησε πρόσφατα μια έρευνα σχετικά με την ενός δισεκατομμυρίου αγορά της αμερικανικής εφαρμογής Musical.ly από την κινεζική εταιρεία τεχνολογίας και μητρική εταιρεία της TikTok, ByteDance το 2017.
Πολλοί βουλευτές έχουν επίσης δημοσίως επικρίνει την TikTok για την λογοκρισία υλικού που πιθανώς να αποτελεί ευαίσθητο θέμα για το κινεζικό καθεστώς.
Μία φοιτήτρια στην Καλιφόρνια έκανε πρόσφατα μήνυση στην TikTok, κατηγορώντας την εταιρεία ότι δημιούργησε έναν λογαριασμό χωρίς εκείνη να το γνωρίζει και συνέλεξε βιομετρικές πληροφορίες για εκείνη.
Σύμφωνα με την καταγγελία στο δικαστήριο «η TikTok κρυφά συνέλεξε και μετέφερε στους διακομιστές της (servers) στην Κίνα τεράστιες ποσότητες προσωπικών δεδομένων, που μπορούν να χρησιμοποιηθούν για να εντοπίσουν, να αναγνωρίσουν και να ελέγξουν την τοποθεσία και τις δραστηριότητες χρηστών στις Ηνωμένες Πολιτείες στο παρόν και στο μέλλον».