TikTok-kwetsbaarheid geeft hackers controle over de app via tekstberichten

tiktok control tekst kwetsbaarheid TikTok, een populaire Chinese app voor het delen van video's, zit vol met beveiligingsfouten, zegt een recent cyberbeveiligingsrapport. De kwetsbaarheden bieden naar verluidt de oplichters die ze misbruiken volledige controle over elk gericht TikTok-account. Kortom, ze kunnen persoonlijke gegevens lezen, inhoud uploaden en multimedia verwijderen door commando's in de vorm van tekstberichten te geven. Omdat de app afkomstig is van een Chinees bedrijf - ByteDance - hebben de Amerikaanse autoriteiten TikTok al snel als een bedreiging voor de nationale veiligheid bestempeld, waardoor het vanaf 21 september 2020 verboden is in Amerikaanse app-winkels.

De moeren en bouten

Terwijl onderzoekers 'meerdere' tekortkomingen in TikTok vonden, is degene die de meeste zorg baart een beveiligingslek waardoor cybercriminelen kunnen profiteren van het installatieproces van TikTok . Om TikTok te downloaden, moet een potentiële gebruiker eerst naar de website van TikTok gaan en een downloadlink naar zijn apparaat sturen met behulp van het ter plaatse verstrekte contactformulier. Er zou niets mis zijn met dat proces als de recent gevonden gaten er niet waren geweest. Zoals het nu is, hebben hackers misschien een manier gevonden om valse installatieprompts te verzenden met een kwaadaardige omleiding in plaats van een echte downloadlink. Dat is mogelijk dankzij een andere kwetsbaarheid op de officiële website van de app. Door die fout konden ze kwaadaardige code op de website plaatsen en met malware gevulde sms-berichten naar potentiële slachtoffers sturen. Het was de malwarekoppeling die de boeven de controle over het TikTok-account overnam.

Patch voordat u naar het publiek gaat

De eigenaren van TikTok hebben al beweerd alle bekende kwetsbaarheden te hebben gepatcht voordat ze openbaar werden gemaakt. Desalniettemin legde de Amerikaanse regering op 21 september een totaal verbod op TikTok en WeChat op in het hele land. De actie was bedoeld om de toegang van China tot gegevens van Amerikaanse burgers te beperken uit angst voor ongeautoriseerde gegevensverzameling. De angst roept nog meer alarm op omdat de Chinese overheid meestal volledige toegang heeft tot alle Chinese gebruikersprofielen voor sociale media-apps, en TikTok maakt ook geen uitzondering. De terughoudendheid kwam te midden van lopende onderhandelingen tussen ByteDance en de regering van president Trump om de zorgen over het beveiligingsniveau van TikTok op te lossen. Die gesprekken lijken voorlopig eerder tot mislukken dan tot succes te zijn gedoemd, vooral gezien de manier waarop het Amerikaanse Comité voor Buitenlandse Investeringen (CFIUS) momenteel onderzoek doet naar ByteDance's overname van de Amerikaanse app Musical.ly voor sociale media in 2017.