Una società israeliana specializzata in sicurezza informatica ha trovato una serie di vulnerabilità nell’app TikTok, tra le più utilizzate e scaricate degli ultimi mesi soprattutto tra i giovanissimi. I problemi, almeno quelli noti, sembrano ora risolti.
TikTok, l’app per smartphone adorata dagli adolescenti e utilizzata da centinaia di milioni di persone in tutto il mondo, aveva serie vulnerabilità che avrebbero permesso agli hacker di manipolare i dati degli utenti e rivelare informazioni personali.
Queste falle avrebbero consentito agli aggressori di inviare agli utenti TikTok messaggi che contenevano link dannosi. Una volta che gli utenti cliccavano su tali collegamenti, gli aggressori avrebbero potuto assumere il controllo degli account, incluso il caricamento di video o l’accesso a video privati. Un’altra falla permetteva di recuperare informazioni personali dagli account utente di TikTok attraverso il sito Web dell’azienda.
In particolare, era possibile innescare queste vulnerabilità:
- Caricamento di video non autorizzati e cancellazione di video
- Cambio della privacy dei video di un utente, da privati a pubblici
- Estrazione di dati personali sensibili, come nome e cognome, indirizzo e-mail e data di nascita
Per scaricare TikTok, i nuovi utenti ricevono un link di download via SMS dopo aver inserito il proprio numero di cellulare sul sito. Un hacker potrebbe potenzialmente manipolare e inviare messaggi a qualunque numero di cellulare, fingendosi TikTok e inviando ed eseguendo codici maligni per mettere in atto operazioni indesiderate come la cancellazione di video, il caricamento non autorizzato di video, e il cambiamento delle impostazioni di privacy dei video da privato a pubblico.
Inoltre, i ricercatori di Check Point sono venuti a conoscenza del fatto che un hacker possa spostare forzatamente un utente TikTok su un server controllato, abilitandosi all’invio di richieste indesiderate da parte dell’utente. L’hacker potrebbe utilizzare la medesima tecnica per dirottare la propria vittima su un sito web pericoloso sotto le sembianze di Tiktok.com. Il dirottamento apre alla possibilità di compiere attacchi di Cross-Site Request Forgery (CSRF), Cross-Site Scripting (XSS), and Sensitive Data Exposure, senza il consenso dell’utente.
Check Point ha notificato questi problemi a TikTok il 20 novembre e tutte le vulnerabilità sono state risolte entro il 15 dicembre tramite diversi aggiornamenti. Come è prassi in questi scenari, le società di sicurezza informatica rimangono in silenzio fino a quando lo sviluppatore non ha un possibilità di correggere i problemi, per impedire che la notizia si diffonda quando la falla è ancora aperta.
Tutto questo mentre TikTok è nel mirino dei legislatori di diversi paesi occidentali, per le preoccupazioni di alcuni legami stretti con il governo cinese. La paura è che la Cina acceda ai dati e alle informazioni personali degli utenti TikTok. L’azienda ha più volte smentito queste accuse.
News