I ricercatori di Check Point Research hanno scoperto una grave vulnerabilità in TikTok che consentiva il furto del numero di telefono e la creazione di un database da vendere al miglior offerente, come successo con Facebook. Il bug è stato risolto dalla software house cinese, ma il problema di sicurezza evidenzia ancora una volta che nessuna app è perfetta.
TikTok: bug risolto, nessun pericolo
La vulnerabilità era presente nella funzionalità Friend Finder (Trova amici) che permette di trovare gli amici su TikTok dopo aver sincronizzato i contatti memorizzati sullo smartphone. In questo modo viene creato una collegamento tra il profilo e il numero di telefono (che non è obbligatorio per aprire un account).
L’app effettua innanzitutto l’upload dei contatti sul server tramite una richiesta HTTP. Successivamente viene inviata una richiesta di sincronizzazione per recuperare tutti i profili associati ai numeri di telefono inviati in precedenza. Il server risponde quindi con i dettagli dei profili (nome, identificatore unico, foto e numero di telefono).
Per ogni dispositivo viene creato un token e un cookie di sessione. Check Point ha però scoperto che questi ultimi erano validi per 60 giorni. Usando l’identificatore del dispositivo, il token e il cookie di sessione era possibile utilizzare un dispositivo virtuale per modificare le richieste HTTP, automatizzare il processo di sincronizzazione dei contatti e creare un database con i numeri di telefono degli utenti.
Cybercriminali esperti potevano raccogliere milioni di numeri e mettere in atto una serie di azioni pericolose per la privacy, tra cui attacchi di spear phishing o vendita del database. La vulnerabilità è stata risolta da TikTok, quindi è fortemente consigliata l’installazione delle ultime versioni delle app per Android e iOS.