Zranitelnost TikTok dává hackerům kontrolu nad aplikací prostřednictvím textových zpráv

zranitelnost řídícího textu tiktok TikTok, populární čínská aplikace pro sdílení videí, je plná bezpečnostních nedostatků, uvádí se v nedávné zprávě o kybernetické bezpečnosti. Zranitelnosti údajně poskytují podvodníkům, kteří je využívají, plnou kontrolu nad jakýmkoli cíleným účtem TikTok. Stručně řečeno, mohou číst osobní údaje, nahrávat obsah a mazat multimédia vydáváním příkazů ve formě textových zpráv. Jelikož aplikace pochází od čínské společnosti - ByteDance - americké úřady rychle označily TikTok za hrozbu pro národní bezpečnost a od 21. září 2020 ji zakázaly v obchodech s aplikacemi v USA.

Matice a šrouby

Zatímco vědci našli v TikToku „více“ nedostatků, největší znepokojení vyvolává bezpečnostní díra, která umožňuje počítačovým podvodníkům využívat proces instalace TikToku . Chcete-li stáhnout TikTok, potenciální uživatel by nejprve musel přejít na web TikTok a odeslat odkaz ke stažení do svého zařízení pomocí kontaktního formuláře uvedeného na webu. Na tom procesu by nebylo nic špatného, kdyby to nebylo pro nedávno nalezené díry. Hackeři možná našli způsob, jak posílat falešné instalační výzvy, které obsahují škodlivé přesměrování, spíše než skutečný odkaz ke stažení. To je možné díky další zranitelnosti na oficiálním webu aplikace. Tato chyba jim umožnila zasadit škodlivý kód na web a posílat malwarem vyplněné textové zprávy potenciálním obětem. Právě odkaz na malware umožnil podvodníkům převzít kontrolu nad účtem TikTok.

Oprava před zveřejněním

Majitelé TikToku již tvrdili, že před zveřejněním opravili všechny známé chyby zabezpečení. Vláda USA nicméně 21. září na celostátní úrovni uložila úplný zákaz společnostem TikTok a WeChat. Cílem tohoto opatření bylo omezit přístup Číny k údajům amerických občanů ze strachu z neoprávněného shromažďování údajů. Strach vyvolává ještě větší poplach, protože čínská vláda má obvykle úplný přístup ke všem čínským uživatelským profilům aplikací pro sociální média a TikTok také není výjimkou. Omezení dorazilo uprostřed probíhajících jednání mezi ByteDance a administrativou prezidenta Trumpa o vyřešení obav o úroveň bezpečnosti TikToku. Zdá se, že tato jednání jsou prozatím spíše odsouzena k neúspěchu než k úspěchu, zejména s ohledem na to, jak americký výbor pro zahraniční investice (CFIUS) v současné době zkoumá akvizici aplikace sociálních médií USA Musical.ly v roce 2017 společností ByteDance.