Check Point Research (CPR), la divisione Threat Intelligence di Check Point Software Technologies Ltd.), fornitore di soluzioni di cybersecurity in tutto il mondo, ha identificato una nuova vulnerabilità nell’app TikTok, il social utilizzato soprattutto da giovanissimi che consente di creare, condividere e commentare brevi video.
Precisiamo subito che questa falla è stata già risolta da ByteDance, l’azienda dietro a TikTok, tramite un aggiornamento dell’app, in seguito alla segnalazione fatta da CPR nei mesi scorsi. Come sempre accade in questi casi, una falla viene condivisa dopo che è già stata risolta per evitare che malintenzionati possano sfruttarla.
Stando a quanto segnalato da CPR, la vulnerabilità si trovava nella funzione “Trova Amici” di TikTok. Bypassando le protezioni sulla privacy create per difendere gli utenti dell’app, la falla avrebbe potuto consentire a malintenzionati di accedere ai dettagli del profilo di un utente (quali numero di telefono, nickname, immagini del profilo e dell’avatar, gli ID utente unici e alcune impostazioni del profilo, come ad esempio quella che consente a un utente di essere un follower pubblico o anonimo) permettendogli di realizzare un database utilizzabile per attività illecite.
L’hacker poteva sfruttare la vulnerabilità creando un elenco di dispositivi con i loro ID, da utilizzare poi per la query dei server di TikTok. Dopodiché poteva creare una lista di token di sessione (ognuno valido per 60 giorni) da utilizzare per interrogare i server di TikTok. A questo punto era in grado di bypassare il meccanismo HTTP della firma digitale di TikTok utilizzando il proprio servizio di firma, eseguito in background, e quindi poteva legare il tutto modificando le richieste HTTP, firmandole di nuovo e utilizzando vari token e ID per bypassare i sistemi di difesa di TikTok.
TikTok ha dichiarato: “La sicurezza e la privacy della comunità di TikTok hanno la nostra massima priorità, e apprezziamo il lavoro di partner fidati come Check Point nell’identificare potenziali problemi in modo da poterli risolvere prima che colpiscano gli utenti. Continuiamo a rafforzare le nostre difese, sia aggiornando costantemente le nostre capacità interne come l’investimento in difese di automazione, sia lavorando con terze parti.”
Questa non è stata la prima dalla che CPR trova nell’app di TikTok, un’altra era stata trovata a cavallo tra 2019 e 2020.
