Reklama

Social media

TikTok naprawił lukę, która mogła ujawnić dane o aktywności użytkownika

Fot. konkarampelas/Pixabay
Fot. konkarampelas/Pixabay

Aplikacja TikTok naprawiła potencjalnie niebezpieczną lukę w zabezpieczeniach platformy, która mogła umożliwić złośliwemu aktorowi przeglądanie i monitorowanie aktywności użytkowników.

Reklama

Lukę wykryli badacze Imperva - dostawcy rozwiązań do ochrony danych. Została ona już naprawiona – podaje Computer Weekly .

Reklama

„Błąd był wywołany przez moduł obsługi zdarzeń komunikatów w oknie, który nie weryfikował właściwie pochodzenia wiadomości. To dało atakującym dostęp do poufnych informacji o użytkownikach” – wyjaśnił badacz bezpieczeństwa Ron Masas, cytowany przez serwis.

Nieprawidłowo miały być weryfikowane wiadomości przychodzące, co sprawiało m.in., że mogły być one podatne i wykorzystywane przez cyberprzestępców.

Reklama

„Wykorzystując tę lukę, atakujący mogą wysyłać złośliwe wiadomości do aplikacji internetowej TikTok za pośrednictwem interfejsu API PostMessage, omijając środki bezpieczeństwa” — powiedział Masas. Złośliwa wiadomość miała być przetwarzana w ten sposób, jakby pochodziła z zaufanego źródła, dając atakującemu dostęp do poufnych informacji o użytkowniku.

Czytaj też

Jakie dane były zagrożone?

Dane ujawnione tą metodą mogły zawierać informacje o urządzeniu ofiary: typ urządzenia, system operacyjny i szczegóły przeglądarki; jakie materiały oglądał i jak długo; informacje o koncie - w tym nazwa użytkownika, przesłane filmy i inne szczegóły; wyszukiwane hasła, które wprowadzili do TikToka - czytamy.

Do czego mogą być wykorzystywane tego typu, pozyskane informacje? Na przykład do ataków phishingowych, kradzieży tożsamości czy nawet szantażu.

Zespół cyberbezpieczeństwa firmy Imperva powiadomił TikToka o luce i - jak zapewniono - została ona natychmiast naprawiona. "Chcielibyśmy podziękować TikTokowi za szybką reakcję i współpracę” - zaznaczono.

W ubiegłym roku z kolei zespół Microsoft zwrócił uwagę na lukę CVE-2022-28799, która mogła umożliwić cyberprzestępcom przejmowanie kont, przeglądanie i publikowanie prywatnych TikToków, wysyłanie wiadomości i przesyłanie nowych treści. Firma miała jednak nie znaleźć dowodów na to, że wskazana luka była wykorzystywana.

Czytaj też

Czy w Polsce dojdzie do zakazu TikToka?

W ostatnich tygodniach wokół TikToka zebrały się czarne chmury z powodu twierdzeń, iż właściciel platformy - firma ByteDance - może być wykorzystywana przez chińskie władze i tamtejsze służby do gromadzenia danych o użytkownikach z całego świata.

Taka argumentacja jest zbieżna z twierdzeniami rządów oraz władz innych państw i instytucji, które zdecydowały się już na wprowadzenie ograniczeń w używaniu aplikacji na służbowych telefonach należących do przedstawicieli administracji czy rządów. Przypomnijmy, że taki krok podjęły m.in. Wielka Brytania, USA, Kanada, Nowa Zelandia, Belgia, Tajwan, Komisja Europejska, Parlament Europejski czy brytyjski nadawca publiczny - BBC.

Kancelaria Premiera (dziś to już oficjalnie Ministerstwo Cyfryzacji - red.) tłumaczyła, że pomimo iż nie wprowadzono zakazu korzystania z aplikacji na służbowych telefonach administracji , to i tak jest to niedozwolone na podstawie obowiązujących zasad i przepisów. Polski rząd chce jednak posiadać twarde, techniczne dowody, które jednoznacznie wskazywałyby na zagrożenie wynikające z korzystania z aplikacji, na co wskazywał wielokrotnie w swoich wypowiedziach minister cyfryzacji Janusz Cieszyński.

/NB

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].

Reklama
Reklama

Komentarze