Virusi i TikTok mund të kishte ekspozuar të dhënat e profilit dhe numrat e celularëve të përdoruesve të tij

Në 26 janar 2021 studiuesit e sigurisë kibernetike zbuluan një defekt të sigurisë në TikTok, tashmë të rregulluar, që mund të kishte lejuar një sulmues të ndërtojë një bazë të dhënash me të dhënat e përdoruesve të aplikacionit dhe numrave të tyre të celularëve për aktivitete keqdashëse në të ardhmen.

“Megjithëse kjo e metë ndikon vetëm tek ata përdorues që kanë lidhur një numër telefoni me llogarinë e tyre ose janë identifikuar me një numër telefoni, një shfrytëzim i suksesshëm i kësaj dobësie mund të kishte rezultuar në rrjedhje të të dhënave dhe shkelje të privatësisë.”- thotë Check Point Research në një analizë të ndarë me TheHacker News.

TikTok ka vendosur që t’i ndreqë këto mangësi pasi studiuesit e Check Point i cilësuan si përgjegjës.

Gabimi i sapo zbuluar qëndron në tiparin “Gjeni miq” të TikTok që lejon përdoruesit të sinkronizojnë kontaktet e tyre me shërbimin për të identifikuar njerëzit e mundshëm që duhet të ndjekin.

Kontaktet ngarkohen në TikTok përmes një kërkese HTTP në formën e një liste që përbëhet nga emrat e kontakteve të shkëputura dhe numrat përkatës të telefonit.

Aplikacioni, në hapin tjetër, dërgon një kërkesë të dytë HTTP që tërheq profilet e TikTok të lidhura me numrat e telefonit të dërguar në kërkesën e mëparshme. Kjo përgjigje përfshin emrat e profilit, numrat e telefonit, fotot dhe informacione të tjera që lidhen me profilin.

Ndërkohë që kërkesat e ngarkimit dhe të sinkronizimit të kontaktit janë të kufizuara në 500 kontakte në ditë, për përdorues dhe për pajisje, studiuesit e Check Point gjetën një mënyrë për të kapërcyer kufizimin duke kapur identifikuesin e pajisjes, sesionin e cookies të vendosur nga serveri, një shenjë unike e quajtur “X-Tt-Token” që vendoset kur hyni në llogari me SMS dhe simuloni të gjithë procesin nga një emulator që ekzekuton Android 6.0.1.

Vlen të përmendet se për të kërkuar të dhëna nga serveri i aplikacionit TikTok, kërkesat HTTP duhet të përfshijnë tituj X-Gorgon dhe X-Khronos për verifikimin e serverit, gjë që siguron që mesazhet të mos kenë ndërhyrje.

Por duke modifikuar kërkesat HTTP, numrin e kontakteve që sulmuesi dëshiron të sinkronizojë, dhe duke i nënshkruar përsëri me një nënshkrim të ri, kjo e metë bëri të mundur automatizimin e proçedurës së ngarkimit dhe sinkronizimit të kontakteve në një shkallë të gjerë dhe krijimin e një baze të dhënash me link-et e profileve dhe numrave të celularëve të përdoruesve.

Kjo nuk është hera e parë që aplikacioni i njohur për shpërndarjen e videove është gjetur të ketë mangësi në sistemin e sigurisë.

Në janar 2020, studiuesit e Check Point zbuluan dobësi të shumta brenda aplikacionit TikTok që mund të ishin shfrytëzuar për të marrë llogari të përdoruesve dhe për të manipuluar përmbajtjen e tyre, duke përfshirë fshirjen e videove, ngarkimin e videove të paautorizuara, bërjen publike të videove private “të fshehura” dhe zbulimin e informacionit personal të ruajtura në llogari.

Pastaj në prill, studiuesit e sigurisë Talal Haj Bakry dhe Tommy Mysk ekspozuan difekte në TikTok që bënë të mundur që sulmuesit të shfaqnin video të falsifikuara, përfshirë ato nga llogaritë e verifikuara, duke e ridrejtuar aplikacionin në një server të rremë që strehon një koleksion të videove të rreme.

Përfundimisht, TikTok nisi një partneritet bug me HackerOne tetorin e kaluar për të ndihmuar përdoruesit ose profesionistët e sigurisë të vlerësojnë shqetësimet teknike me platformën. Dobësitë kritike kanë të pranueshme për pagesa midis 6,900 dollarë deri në 14 800 dollarë, sipas programit.

“Motivimi ynë kryesor, kësaj here, ishte të eksploronim privatësinë e TikTok,” tha Oded Vanunu, kreu i hulumtimit të dobësive të produkteve në Check Point. “Ne ishim kuriozë nëse platforma TikTok mund të përdorej për të marrë të dhëna private të përdoruesve. Rezulton se përgjigjja ishte po, pasi ne ishim në gjendje të anashkalonim mekanizma të shumtë mbrojtës të TikTok që çojnë në shkelje të privatësisë.”

“Një sulmues me atë shkallë të informacionit të ndjeshëm mund të kryejë një sërë aktivitetesh dashakeqe, të tilla si mashtrim phishing ose veprime të tjera kriminale.”