يخضع TikTok ، وهو ثالث أكثر التطبيقات التي تم تنزيلها في عام 2019 ، لتدقيق شديد على خصوصية المستخدمين ، وفرض رقابة على المحتوى المثير للجدل من الناحية السياسية وعلى أسس الأمن القومي - لكن الأمر لم ينته بعد ، حيث إن أمن مليارات مستخدمي TikTok أصبح الآن قيد البحث.
يحتوي التطبيق الصيني الشهير لمشاركة الفيديو الفيروسي على ثغرات أمنية يحتمل أن تكون خطرة يمكن أن تسمح للمهاجمين عن بعد باختطاف أي حساب مستخدم بمجرد معرفة رقم الهاتف المحمول للضحايا المستهدفين.
في تقرير تمت مشاركته بشكل خاص مع The Hacker News ، كشف باحثو الأمن السيبراني في Check Point أن تسلسل نقاط الضعف المتعددة سمح لهم بتنفيذ التعليمات البرمجية الضارة عن بُعد وأداء أعمال غير مرغوب فيها نيابة عن الضحايا دون موافقتهم.
تتضمن نقاط الضعف المبلغ عنها مشكلات منخفضة الخطورة مثل خداع ارتباط الرسائل القصيرة وإعادة التوجيه المفتوح والبرمجة النصية عبر المواقع (XSS) والتي قد تسمح للمهاجم عن بعد بتنفيذ هجمات عالية التأثير ، بما في ذلك:
تتضمن نقاط الضعف المبلغ عنها مشكلات منخفضة الخطورة مثل خداع ارتباط الرسائل القصيرة وإعادة التوجيه المفتوح والبرمجة النصية عبر المواقع (XSS) والتي قد تسمح للمهاجم عن بعد بتنفيذ هجمات عالية التأثير ، بما في ذلك:
حذف أي مقاطع فيديو من ملف TikTok الشخصي للضحايا ،
تحميل مقاطع فيديو غير مصرح بها لملف TikTok الشخصي ،
جعل مقاطع الفيديو الخاصة "المخفية" عامة ،
كشف المعلومات الشخصية المحفوظة على الحساب ، مثل العناوين الخاصة ورسائل البريد الإلكتروني.
يستفيد الهجوم من نظام رسائل نصية غير آمن تقدمه TikTok على موقعها على الويب للسماح للمستخدمين بإرسال رسالة إلى رقم هاتفهم مع رابط لتنزيل تطبيق مشاركة الفيديو.
وفقًا للباحثين ، يمكن للمهاجم إرسال رسالة نصية قصيرة إلى أي رقم هاتف نيابة عن TikTok بعنوان URL معدّل للتنزيل إلى صفحة ضارة مصممة لتنفيذ التعليمات البرمجية على جهاز مستهدف مع تطبيق TikTok المثبت بالفعل.
عند دمجها مع إعادة التوجيه المفتوحة ومشكلات البرمجة النصية عبر المواقع ، يمكن للهجوم أن يسمح للمتسللين بتنفيذ تعليمات JavaScript البرمجية نيابة عن الضحايا بمجرد أن ينقروا على الرابط الذي أرسله خادم TikTok عبر الرسائل القصيرة ، كما هو موضح في نقطة التحقق من العرض التوضيحي للفيديو التي تمت مشاركتها مع The أخبار هاكر.
تُعرف هذه التقنية عادةً باسم هجوم التزوير عبر المواقع ، حيث يقوم المهاجمون بخداع المستخدمين المصادق عليهم لتنفيذ إجراء غير مرغوب فيه.
وقال الباحثون في منشور منشور بالمدونة "مع عدم وجود آلية لتزوير طلبات مكافحة المواقع ، أدركنا أنه يمكننا تنفيذ تعليمات JavaScript البرمجية وتنفيذ إجراءات نيابة عن الضحية ، دون موافقته" .
"ستؤدي إعادة توجيه المستخدم إلى موقع ضار إلى تنفيذ تعليمات JavaScript البرمجية وتقديم طلبات إلى Tiktok مع ملفات تعريف الارتباط الخاصة بالضحايا."
أبلغت Check Point بمسؤولية عن هذه الثغرات أمام ByteDance ، مطور TikTok ، في أواخر نوفمبر 2019 ، الذي أصدر بعد ذلك إصدارًا مصححًا من تطبيقه المحمول في غضون شهر واحد لحماية مستخدميه من المتسللين.
إذا كنت لا تشغل أحدث إصدار من TikTok المتاح في متاجر التطبيقات الرسمية لنظامي التشغيل Android و iOS ، يُنصح بتحديثه في أقرب وقت ممكن.