По мере того, как приложение для социальных сетей продолжает набирать популярность, исследователи, занимающиеся вопросами безопасности, начинают капать глубже.
Социальное видео приложение TikTok было заклеймено как потенциальная угроза безопасности за свои связи с Китаем — приложение принадлежит пекинской компании ByteDance, но, как и любое программное обеспечение, оно также имеет потенциал для более сиюминутных проблем безопасности. Недавно исправленные уязвимости в приложении могли позволить злоумышленнику захватить учетные записи TikTok, добавить или удалить видео, а также раскрыть личные данные, такие как пользовательская информация или видео с пометкой «скрыто».
Исследователи из охранной фирмы Check Point впервые раскрыли ошибки TikTok в конце ноября, и компания исправила их все на iOS и Android к концу декабря. Тем не менее, выводы пришли, так как Конгресс провел слушания и призвал к расследованию в последние месяцы в связи с возможностью того, что приложение представляет собой риск для национальной безопасности. И армия США, и военно-морской флот запретили использование этого приложения на своих устройствах в конце 2019 года, назвав его киберугрозой. Во всех программах есть ошибки, и раскрытые уязвимости не говорят о том, что TikTok вообще является вредоносным. Но полученные данные показывают, что приложение для социальных сетей в данный момент заслуживает более пристального внимания.
«Целью нашего исследования действительно было понять, какой уровень безопасности и конфиденциальности обеспечивает TikTok», — говорит Одед Вануну (Oded Vanunu), руководитель отдела по исследованию уязвимостей в продукте Check Point.
Как только мы закончили исследование и поняли, что можем легко манипулировать учетными записями, мы сказали: Давайте остановимся на этом и поделимся информацией. Мы надеемся, что теперь больше исследователей будут проверять приложение и что TikTok увеличит цикл проверки безопасности».
Исследователи заметили, что TikTok предлагает на своем сайте функцию, позволяющую пользователям вводить свои телефонные номера и получать SMS-сообщение со ссылкой для загрузки приложения. Анализируя этот механизм, они обнаружили, что могут удаленно манипулировать словами в тексте, а также ссылкой для загрузки и отправлять их на любой телефонный номер. Оттуда они обнаружили, что могут создавать специальные ссылки для этих текстов, которые будут посылать команды в TikTok, если жертва уже загрузила приложение.
На практике злоумышленник мог бы переделать SMS-сообщение, нацеленное на существующих пользователей TikTok, а не только на пользователей первого эшелона, и эти тексты могли бы на законных основаниях поступать из инфраструктуры TikTok. Если пользователь TikTok перешел по одной из этих вредоносных ссылок, злоумышленник мог манипулировать ошибками в настройках браузера TikTok и механизмами аутентификации для манипулирования командами отправки своих учетных записей для добавления или удаления видео, принуждения учетной записи жертвы к просмотру других учетных записей, обнародования частного видео или фильтрации личных данных учетной записи жертвы, таких как имя и адрес электронной почты.
Вануну говорит, что TikTok отреагировал на разоблачения и исправил проблемы в течение нескольких недель.
«TikTok стремится защитить данные пользователей. Как и многие другие организации, мы призываем ответственных исследователей безопасности в частном порядке раскрывать нам уязвимости нулевого дня», — говорится в заявлении Люка Дешотельса (Luke Deshotels), член команды безопасности TikTok.
«Мы надеемся, что эта успешная резолюция будет способствовать дальнейшему сотрудничеству с исследователями в области безопасности». TikTok сообщил, что он изучил записи службы поддержки клиентов и не обнаружил «никаких закономерностей, которые указывали бы на то, что произошла атака или нарушение».
Несмотря на то, что TikTok становится все более популярным и тщательно изучается, не так уж и много публичных сообщений об обнаруженных в приложении ошибках. Совсем недавно, в начале сентября, исследователь в области безопасности Мелрой Боувз опубликовал результаты, согласно которым и iOS, и Android версии TikTok делают определенные запросы через незашифрованные подключения к Интернету, потенциально подвергая риску эту активность и некоторые данные, например, какие видео пользователи смотрят. Bouwes впервые связался с TikTok в июле по поводу полученных данных и сообщил, что пытался связаться с компанией еще три раза после этого в течение двух месяцев.
«Я так и не получил ответа», — сказал он. «Я не нашел ответственной процедуры раскрытия».
TikTok работал над продвижением позитивного и безопасного имиджа в США, чтобы противостоять обвинениям в недоверчивости. На прошлой неделе компания выпустила свой первый отчет по прозрачности, а сегодня она объявляет об обновлении Руководства для сообщества. Но сообщество исследователей безопасности только поверхностно провели свои исследования, по крайней мере публично, и не известно, что выяснится, если копнуть глубже.