IT-säkerhetsföretaget Check Point har hittat flera sårbarheter i TikTok, en underhållningsapp som är populär bland ungdomar där användarna bland annat kan mima till musik. Sårbarheterna gör det möjligt att lägga till och ta bort videos, ändra sekretessinställningar och personliga data.
Teckna din prenumeration på Aktuell Säkerhet här
TikTok är den tredje mest nedladdade appen efter WhatsApp och Messenger. Nyligen förbjöd det amerikanska försvaret sina anställda från att använda den på grund av säkerhetsriskerna. Nu kan Check Points forskare avslöja att det finns sårbarheter i TikToks infrastruktur.
För att ladda ned appen får användaren en nedladdningslänk via SMS genom att ange sitt telefonnummer på Tiktok.com. Forskarna har upptäckt att en hackare kan manipulera och skicka textmeddelanden till vilket telefonnummer som helst med TikTok som avsändare.
Genom att utge sig för att vara TikTok kan hackare sprida skadlig kod och på så sätt radera videos, ladda upp obehörigt material och ändra sekretessinställningar. Dessutom upptäckte forskarna att hackare kan tvinga en TikTok-användare till en webbserver som kontrolleras av hackaren, vilket gör det möjligt för angriparen att skicka oönskade förfrågningar från användarens konto.
Med samma teknik kan hackarna också omdirigera användare till en skadlig webbplats som utger sig för att vara Tiktok.com. Omdirigeringen ger möjligheten att genomföra Cross-Site Request Forgery (CSRF), Cross-Site Scripting (XSS) och att läcka känsliga data utan användarens samtycke.