تطبيق TikTok والمشاكل الأمنية
تطبيق TikTok والمشاكل الأمنية
من الجيد أن تقوم الخدمة عبر الإنترنت بإصلاح عيوب الأمان على الفور. لكن في بعض الأحيان تكون الأخطاء نفسها فظيعة للغاية بحيث يتعين عليك أن تتساءل عن المخاطر الأخرى الكامنة في هذا الأمر.
مثال على ذلك: تطبيق مشاركة الفيديو TikTok.
عثرت شركة الأمن Check Point Research على عدد من المشكلات الأمنية في تطبيق TikTok وعلى موقعها علىالويب ، مما قد يسمح للمهاجم بالتحكم في حساب شخص آخر ، وحذف مقاطع الفيديو الخاصة به ، وتحميل مقاطعالفيديو غير المصرح بها ، وجعل مقاطع الفيديو الخاصة عامة وكشف المعلومات الشخصية للمستخدم ، بما في ذلك عنوان بريدهم الإلكتروني الخاص.
كون TikTok واحدًا من أكثر التطبيقات شعبية ، فهذا سيكون سيئًا للغاية. ولكن ، مرة أخرى ، هو مقدار ونوعالأخطاء التي تم العثور عليها أكثر إثارة للقلق.
سمحت إحدى المشكلات السيئة بإرسال رسالة SMS إلى أي رقم هاتف باسم TikTok. مع بعض التعديلات البرمجيةالبسيطة إلى حد ما ، يمكن للمهاجم إرسال رسالة نصية قصيرة من النوع: "الرجاء تنزيل هذا التحديث العاجل" ، معوجود رابط يؤدي إلى تطبيق ضار ، وقد وصلت الرسائل القصيرة بالفعل من TikTok.
سمح خطأ آخر للمهاجم بتنفيذ تعليمات JavaScript البرمجية نيابة عن الضحية ، والجمع بين الخللين سمح للمهاجمبتنفيذ إجراءات على حساب الضحية دون موافقة.
كانت هناك أخطاء أخرى ، وقد تطلب قدرًا لا بأس به من المعرفة التقنية لاستغلالها ، لكنها تتبين للمستخدم العاديوكأنها تشبه أمان TikTok.
وقال تيكتوك لبي بي سي في بيان "قبل الإفصاح العلني ، وافقت Check Point على أن جميع المشكلات التي تمالإبلاغ عنها تم تصحيحها في أحدث إصدار من تطبيقنا. نأمل أن يشجع هذا القرار الناجح على مزيد من التعاون معالباحثين في مجال الأمن".
قالت الشركة إنه لا يوجد ما يشير إلى أن المهاجم قد استغل بالفعل أيًا من هذه الأخطاء قبل هذا الكشف.
تصدرت TikTok عناوين الصحف العام الماضي عندما تم تغريم مالكها ، ByteDance الصيني ، من قبل لجنةالتجارة الفيدرالية لجمعها بشكل غير قانوني بيانات الأطفال. كما تم حظر التطبيق من قبل الجيش الأمريكي بسببمخاوف تتعلق بالأمن السيبراني ، وهو قيد التحقيق في الاتحاد الأوروبي لمعرفة كيفية تعامله مع بيانات الأطفال.
مثال على ذلك: تطبيق مشاركة الفيديو TikTok.
عثرت شركة الأمن Check Point Research على عدد من المشكلات الأمنية في تطبيق TikTok وعلى موقعها علىالويب ، مما قد يسمح للمهاجم بالتحكم في حساب شخص آخر ، وحذف مقاطع الفيديو الخاصة به ، وتحميل مقاطعالفيديو غير المصرح بها ، وجعل مقاطع الفيديو الخاصة عامة وكشف المعلومات الشخصية للمستخدم ، بما في ذلك عنوان بريدهم الإلكتروني الخاص.
كون TikTok واحدًا من أكثر التطبيقات شعبية ، فهذا سيكون سيئًا للغاية. ولكن ، مرة أخرى ، هو مقدار ونوعالأخطاء التي تم العثور عليها أكثر إثارة للقلق.
سمحت إحدى المشكلات السيئة بإرسال رسالة SMS إلى أي رقم هاتف باسم TikTok. مع بعض التعديلات البرمجيةالبسيطة إلى حد ما ، يمكن للمهاجم إرسال رسالة نصية قصيرة من النوع: "الرجاء تنزيل هذا التحديث العاجل" ، معوجود رابط يؤدي إلى تطبيق ضار ، وقد وصلت الرسائل القصيرة بالفعل من TikTok.
سمح خطأ آخر للمهاجم بتنفيذ تعليمات JavaScript البرمجية نيابة عن الضحية ، والجمع بين الخللين سمح للمهاجمبتنفيذ إجراءات على حساب الضحية دون موافقة.
كانت هناك أخطاء أخرى ، وقد تطلب قدرًا لا بأس به من المعرفة التقنية لاستغلالها ، لكنها تتبين للمستخدم العاديوكأنها تشبه أمان TikTok.
وقال تيكتوك لبي بي سي في بيان "قبل الإفصاح العلني ، وافقت Check Point على أن جميع المشكلات التي تمالإبلاغ عنها تم تصحيحها في أحدث إصدار من تطبيقنا. نأمل أن يشجع هذا القرار الناجح على مزيد من التعاون معالباحثين في مجال الأمن".
قالت الشركة إنه لا يوجد ما يشير إلى أن المهاجم قد استغل بالفعل أيًا من هذه الأخطاء قبل هذا الكشف.
تصدرت TikTok عناوين الصحف العام الماضي عندما تم تغريم مالكها ، ByteDance الصيني ، من قبل لجنةالتجارة الفيدرالية لجمعها بشكل غير قانوني بيانات الأطفال. كما تم حظر التطبيق من قبل الجيش الأمريكي بسببمخاوف تتعلق بالأمن السيبراني ، وهو قيد التحقيق في الاتحاد الأوروبي لمعرفة كيفية تعامله مع بيانات الأطفال.
