È stata l’app più popolare del 2019, lo sarà certamente anche nel 2020, ha oltre 1 miliardo di iscritti ed è l’unica che al momento è in grado di far paura al gruppo Facebook. Ma non è affatto perfetta. I ricercatori di Check Point Research hanno trovato quattro gravi vulnerabilità nell’app di TikTok e alcuni problemi nel sito Web ufficiale.
ByteDance, l’azienda cinese che sviluppa TikTok, ha raccolto le segnalazioni di Check Point e ha tappato le falle all’app, rilasciando un aggiornamento, e ha anche rimediato ai problemi al sito. Chiunque usi TikTok, quindi, farebbe bene ad aggiornare l’app immediatamente perché, altrimenti, i rischi che corre sono abbastanza alti: TikTok, infatti, prima dell’aggiornamento poteva essere attaccata dagli hacker con un semplice SMS di spoofing, che portava l’utente su un sito Web dannoso che imitava l’home page di TikTok.
Le quattro vulnerabilità di TikTok
Secondo Alon Boxiner, Eran Vaknin, Alexey Volodin, Dikla Barda e Roman Zaikin, i cinque ricercatori che hanno trovato i quattro gravi bug nell’app di TikTok, con poche manovre neanche tanto complicate è possibile prendere il possesso di un account TikTok, cancellare i video e caricarne altri senza l’autorizzazione dell’utente, rendere pubblici i video privati e nascosti e rivelare informazioni personali collegate all’account come indirizzi e-mail privati.
TikTok: attenti all’SMS
Per violare un account TikTok basta inviare un SMS alla vittima, per invitarlo a scaricare l’app e guardare un video. Questa funzionalità è uno dei metodi scelti da ByteDance per invitare nuovi utenti ad usare il servizio, ed è previsto un apposito campo sul sito ufficiale di TikTok per inviare via SMS i video. Chi riceve un SMS del genere, quindi, di solito non si allarma. Check Point ha però scoperto che era possibile falsificare i messaggi SMS per farli sembrare provenienti da TikTok. Una volta che l’utente faceva clic sul link falso, un hacker sarebbe stato in grado di accedere a parti dell’account TikTok. Check Point ha anche scoperto che l’infrastruttura di TikTok consentiva a un hacker di reindirizzare l’utente già attaccato a un sito Web dannoso che sembrava la homepage di TikTok.
La risposta di TikTok
Check Point ha scoperto le quattro gravi falle alla sicurezza di TikTok a novembre 2019, ma le ha tenute segrete fino a quando l’azienda non è riuscita a mettere una toppa alla sua app e al suo sito Web. “TikTok si impegna a proteggere i dati degli utenti – spiega l’azienda in una nota – Come molte organizzazioni, incoraggiamo i ricercatori responsabili della sicurezza a rivelarci privatamente vulnerabilità zero day. Prima della divulgazione al pubblico, Check Point ha concordato che tutti i problemi segnalati sono stati corretti nell’ultima versione della nostra app. Speriamo che questa vicenda andata a buon fine incoraggi la futura collaborazione con i ricercatori di cybersecurity“.
TikTok falla sicurezza: perché devi aggiornare subito l'app