Una grave falla di TikTok avrebbe messo a rischio i dati sensibili degli utenti, tra cui il numero di telefono, le immagini del profilo, l’username ed alcune impostazioni, come quella che permette ad un account di essere un follower pubblico o anonimo.
TikTok, una nuova falla ha messo a rischio i dati sensibili degli utenti
La falla è stata scoperta dai ricercatori di Check Point Software Technologies, uno dei più importanti fornitori di soluzioni di cybersecurity al mondo. Questa vulnerabilità intaccherebbe la funzione Trova Amici e permette di bypassare le protezioni sulla privacy. Se non viene immediatamente risolta, questa falla permetterebbe ad un criminale informatico di accedere ad importanti informazioni sensibili di un utente, compreso il suo numero di telefono, e poi costruire un database da utilizzare per attività illecite.
Ecco come il criminale informatico può sfruttare la vulnerabilità:
- L’aggessore ha creato un elenco di dispositivi con i loro ID, utilizzati poi per la query dei server di TikTok.
- Dopodiché ha creato una lista di token di sessione (ognuno valido per 60 giorni) che saranno utilizzati per interrogare i server di TikTok.
- Ha bypassato il meccanismo HTTP della firma digitale di TikTok utilizzando il proprio servizio di firma, eseguito in background.
- Infine, ha legato il tutto modificando le richieste HTTP, firmandole di nuovo e utilizzando vari token e ID per bypassare i sistemi di difesa di TikTok.
I ricercatori hanno subito informato ByteDance, il produttore del social, che ha così risposto all’appello:
“La sicurezza e la privacy della comunità di TikTok hanno la nostra massima priorità, e apprezziamo il lavoro di partner fidati come Check Point nell’identificare potenziali problemi in modo da poterli risolvere prima che colpiscano gli utenti. Continuiamo a rafforzare le nostre difese, sia aggiornando costantemente le nostre capacità interne come l’investimento in difese di automazione, sia lavorando con terze parti.”