חוקרי אבטחה ישראלים מצאו פירצת אבטחה חמורה באפליקציית טיקטוק

חוקרי צ'ק פוינט איתרו חולשות אבטחה משמעותיות באפליקציה הפופולרית טיקטוק. האפליקציה, המאפשרת למשתמשים לשתף סרטונים קצרים, והפכה לפופולרית במיוחד בישראל בחודשים האחרונים, בייחוד בקרב בני הנוער. הפירצה אפשרה לתוקפים לגנוב מידע אישי ולפרסם סרטונים פרטיים

צילום ועריכה: צ'ק פוינט

חוקרי הגנת הסייבר של חברת צ'ק פוינט מצאו פירצת אבטחה חמורה ביותר באפליקציית טיקטוק, שאפשרה להאקרים לקבל גישה מרחוק לחשבונות של משתמשים, וזאת מבלי אפילו לנסות להערים עליהם. אפליקציית טיקטוק כבשה את ישראל והעולם בסערה וצברה תוך כמה חודשים בלבד אלפי משתמשים, כשחלק לא מבוטל מהם בני נוער בגילאי תיכון ויסודי. כעת, חוקרי הגנת הסייבר של חברת צ'ק פוינט, אלון בוקסינר, ערן וקנין, אלכסיי וולודין, דיקלה ברדה ורומן זאיקין, חשפו חולשות משמעותיות באפליקציה הפופולרית. אותן חולשות מאפשרות לתוקפים, בין היתר, לבצע פעולות בחשבונות של משתמשים כגון הוספה ומחיקה של סרטונים, שינוי הגדרות הפרטיות שלהם (הפיכת סרטונים פרטיים לפומביים) ואף גניבה של פרטים אישיים, שהוזנו על ידי המשתמשים בעת ההרשמה.

עוד בוואלה! TECH

"הנדבנית הערומה" הציעה תמונות עירום שלה לכל מי שיתרום לנזקי השריפות באוסטרליה - ונחסמה מאינסטגרם

לכתבה המלאה

עודד ואנונו, ראש מחלקת חולשות מוצרים בצ'ק פוינט שעמד בראש המחקר: "פירצות אבטחה שמובילות לזליגת מידע רגיש הן תופעה שהולכת וצוברת תאוצה. מרבית המשתמשים באפליקציות הללו יוצאים מנקודת הנחה שהאפליקציות הפופולריות הן בטוחות במיוחד, אך האקרים משקיעים משאבים ומאמצים רבים בכדי לחדור אליהן וזאת בשל המידע האישי העצום שקיים בהן על כל משתמש ומשתמשת. המחקרים שלנו מוכיחים שגם האפליקציות הכי פופולריות בעולם נמצאות תחת סיכון".

פירצת האבטחה שהתגלתה באפליקציית טיקטוק על ידי צוות החוקרים (צילום: צ'ק פוינט)

חוקרי הגנת הסייבר של החברה הישראלית צ'ק פוינט, איתרו חולשות אבטחה חמורות שאפשרו לתוקף לשלוח הודעה בעלת לינק זדוני מתוך מערכת משלוח ההודעות המובנית בממשק. הקלקה על הלינק, למעשה, אפשרה לתוקף לקבל גישה לחשבונו של הקורבן ולבצע מניפולציות בתוכן הקיים בחשבון הקורבן, לרבות מחיקת סרטונים, העלאת סרטונים וחשיפה של סרטונים פרטיים קיימים. כמו כן, החוקרים גילו שאתר משנה של האפליקציה, https://ads.tiktok.com, היה חשוף למתקפות שאפשרו לתוקפים לדלות פרטים אישיים אותם הקלידו המשתמשים בעת ההרשמה, לרבות שמות מלאים, כתובות מגורים, כתובות אימייל ותאריכי ימי הולדת.

טיקטוק, שבבעלות החברה הסינית בייטדאנס, היא אחת מהאפליקציות הפופולריות ביותר בעולם. היא פועלת ב-150 מדינות והספיקה לצבור בתוך כמה שנים למעלה ממיליארד וחצי הורדות בחנויות האפליקציות - יותר מאינסטגרם וסנאפצ'ט. כאמור, האפליקציה מוכרת היטב ופופולרית במיוחד בקרב ילדים ובני הנוער, שמפרסמים בה סרטונים קצרים של עד 60 שניות. עוד האפליקציה מאפשרת להוסיף מוזיקת רקע לסרטונים, לערוך את הסרטונים ולהוסיף אפקטים, ומתוקף כך היא מאחסנת כמויות עצומות של סרטונים, חלקם עלולים להיות רגישים במיוחד, של המשתמשים בה. "טיקטוק מחויבת להגנה על המידע שיש בה. בדומה לארגונים רבים אחרים, אנו מעודדים חוקרי אבטחת מידע להעביר לידינו את ממצאיהם ביחס לחולשות חדשות", אמר ד"ר לוק דשוטלס מצוות אבטחת המידע בטיקטוק. צ'ק פוינט מאז דיווחה לחברה המפעילה את אפליקציית טיקטוק על ממצאיה, והיא תיקנה את החולשות המדוברות.

טרם התפרסמו תגובות

הוסף תגובה חדשה

בשליחת תגובה אני מסכים/הלתנאי שימוש
    לוגו - פיקוד העורףפיקוד העורף

    התרעות פיקוד העורף

      walla_ssr_page_has_been_loaded_successfully