Спецпроекты

Чужой аккаунт TikTok можно легко захватить с помощью официального приложения

Безопасность Пользователю Интернет Веб-сервисы Техника

Эксперты CheckPoint обнаружили, что не слишком опасные уязвимости в мобильном приложении TikTok, которые, однако, можно скомбинировать так, что возникает угроза захвата контроля над аккаунтом жертвы.

Достаточно знать номер

Эксперты компании CheckPoint обнаружили в официальном мобильном приложении китайской социальной сети TikTok ряд уязвимостей, которые позволяют перехватывать контроль над аккаунтом. Для этого злоумышленнику требуется лишь знать номер мобильного телефона потенциальной жертвы.

TikTok - китайская социальная сеть, позволяющая создавать короткие музыкальные видео, прямые эфиры и обмениваться сообщениями. Запущенная в 2018 г., к настоящему моменту TikTok занял лидирующее положение в Китае и добился значительной популярности в других странах - по всему миру насчитывается уже более 1,3 млрд. установок.

Аккаунты в сети TikTok делятся на бесплатные и платные, причём содержание бесплатных аккаунтов по умолчанию общедоступно. Только платные пользователи могут ограничивать доступ к своему контенту.

Сами по себе уязвимости, выявленные в приложении, нельзя назвать критическими или даже опасными. Критически опасной становится их комбинация: с помощью подмены ссылок в SMS, открытого перенаправления и межсайтового скриптинга злоумышленники могут производить целый ряд вредоносных действий.

Помимо прямого захвата контроля над аккаунтом, становятся возможны различные манипуляции над его содержимым - удаление загруженных пользователями видео, загрузка видеороликов без ведома и согласия пользователя, снятие пользовательских ограничений на роликах, публикация приватной информации аккаунта и т.д.

Отправьте SMS на номер...

Эксперты Checkpoint обнаружили возможность использовать функцию отправки SMS-сообщения с сайта TikTok от имени социальной сети на любой номер; такие SMS содержат обычно ссылку на скачивание клиентской программы.

Однако ссылку вполне можно подменить и таким образом заманить пользователя на сторонний ресурс, через который можно произвести запуск произвольного кода на целевом мобильном устройстве - при условии, что на нём уже установлено приложение TikTok.

«В принципе, уже то, что жертве - пользователю TikTok приходит сообщение с предложением повторно скачать клиент, уже должно вызывать подозрения, - считает Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. - Но далеко не всегда пользователи задаются вопросом, зачем им повторно что-то скачивать: дескать, мало ли, обновление вышло. Как раз на подобную невнимательность уловки злоумышленников часто и рассчитаны».

Основная проблема самого приложения TikTok, с точки зрения экспертов, заключается в отсутствии защиты от подделки межсайтовых запросов (XSS).

В конце декабря 2019 г. американская армия ввела для своих служащих запрет на использование приложения TikTok: власти США подозревают, что приложение может использоваться для похищения данных пользователей. 16 декабря 2019 г. Министерство обороны США опубликовало предупреждение об опасности этой соцсети.

С 4 января 2020 г. официально запрещено использовать TikTok сотрудникам Госдепартамента США и Министерства внутренней безопасности США.



Технология месяца

Важная тенденция — бум использования «хайповых» технологий в реальных проектах

Елена Лукутина

партнер, директор по операционной деятельности и технологическому развитию «Неофлекс»

партнер «Неофлекс»
Профиль месяца

Мы помогаем выращивать российское ПО

Андрей Филатов

глава SAP CIS