Nemmeno l’applicazione del momento, quella capace di calamitare l’attenzione del pubblico più giovane e degli esponenti politici più social, è al sicuro dalle vulnerabilità. I ricercatori al lavoro nella divisione Threat Intelligence di Check Point Software Technologies hanno reso noto oggi di aver individuato nei mesi scorsi gravi problemi per la sicurezza di TikTok e dei suoi utenti.
TikTok: le vulnerabilità scovate da Check Point
Le falle sono rimaste avvolte dal silenzio per consentire alla software house ByteDance di risolverle senza conseguenze per la community di iscritti. Responsabile nella maggior parte dei casi il sistema che, all’atto della registrazione, invia un SMS di conferma per procedere all’attivazione dell’account. Sfruttandone un punto debole un malintenzionato avrebbe potuto caricare video non autorizzati sui profili o cancellare quelli già condivisi, modificare le impostazioni della privacy rendendo pubblico un contenuto privato e catturare dati personali sensibili come nome, cognome, indirizzo email e data di nascita.
Nel filmato qui sopra la dimostrazione di alcuni degli attacchi resi possibili dalle vulnerabilità identificate. Gli stessi ricercatori hanno inoltre scoperto una tecnica attraverso la quale un cracker avrebbe potuto spostare forzatamente un utente di TikTok su un server controllato, abilitandosi all’invio di richieste indesiderate, dirottandolo ad esempio verso un sito Web con malware, contenuti pericolosi o inadatti ed esponendolo ad azioni di Cross-Site Request Forgery (CSRF), Cross-Site Scripting (XSS) e Sensitive Data Exposure.