Incredibile Bug TikTok: Permetteva di accedere al numero di telefono (e non solo)

Posted by By Francesco D'Accico 3 Min per Leggere
BAN TikTok

TikTok ancora nella bufera e questa volta perché una falla di sicurezza ha esposto i nostri dati agli hacker (incluso il numero di telefono)

Non c’è pace per TikTok che in poche settimane è sotto attacco su più fronti. Ora è il turno di un pericolosissimo BUG che permetteva di avere in mano dati sensibili degli utenti. Infatti i ricercatori ed esperti di sicurezza di Check Point Research (CPR), hanno identificato una nuova vulnerabilità nell’app TikTok che permetteva di sfruttarla per conoscere dati sensibili e privati degli utenti.

La nuova falla, trovata nella funzione “Trova Amici” di TikTok, consentirebbe di bypassare le protezioni sulla privacy create per difendere gli utenti dell’app. Se lasciata senza patch, la vulnerabilità permetterebbe a un hacker di accedere ai dettagli del profilo di un utente e anche al numero di telefono associato al suo account, dando la possibilità di costruire un database da utilizzare per attività illecite.

BUG TikTok: Quali dati sono stati rubati?

I dettagli del profilo accessibili tramite questa falla includono: il numero di telefono, il nickname, le immagini del profilo e dell’avatar, gli ID utente unici e alcune impostazioni del profilo, come ad esempio quella che consente a un utente di essere un follower pubblico o anonimo. Insomma una marea di dati per una falla nell’applicazione.

Come l’hacker poteva sfruttare la vulnerabilità

  1. L’aggessore ha creato un elenco di dispositivi con i loro ID, utilizzati poi per la query dei server di TikTok.
  2. Dopodiché ha creato una lista di token di sessione (ognuno valido per 60 giorni) che saranno utilizzati per interrogare i server di TikTok.
  3. Ha bypassato il meccanismo HTTP della firma digitale di TikTok utilizzando il proprio servizio di firma, eseguito in background.
  4. Infine, ha legato il tutto modificando le richieste HTTP, firmandole di nuovo e utilizzando vari token e ID per bypassare i sistemi di difesa di TikTok.

Infine ecco la dichiarazione di TikTok:

La sicurezza e la privacy della comunità di TikTok hanno la nostra massima priorità, e apprezziamo il lavoro
di partner fidati come Check Point nell’identificare potenziali problemi in modo da poterli risolvere prima che
colpiscano gli utenti. Continuiamo a rafforzare le nostre difese, sia aggiornando costantemente le nostre
capacità interne come l’investimento in difese di automazione, sia lavorando con terze parti.

BUG TikTok: Ora è stato risolto

Ora la funzionalità per ricercare gli amici è stata corretta ed il bug non è più presente, tutto con un aggiornamento da remoto da parte di TikTok che ha risolto la falla scoperta da Chack Point. Dunque almeno da qualche settimana la falla scoperta non è più disponibile ma non sappiamo in quanti l’abbiano sfruttata per carpire le nostre informazioni e tracciare il profilo di un utente.

Tags:
Francesco D'Accico
Visualizza altri post
Sono appassionato di tecnologia sin dalla tenera età, coltivo la mia passione con aggiornamenti quotidiani e non mi lascio scappare proprio nulla. Ho creato HowTechIsMade per condividere con voi le mie passioni ed aiutarvi ad avere un approccio più semplice con la tecnologia.