تم إطلاق TikTok في البداية في عام 2017 ، وسرعان ما عزز مكانته بين تطبيقات الوسائط الاجتماعية ذات الشعبية الكبيرة ، حيث وصل إلى 1.5 مليار تنزيل في العام الماضي. مملوكة من قبل ByteDance ومقرها بكين:

TikTok

كان التطبيق في المياه الساخنة في الآونة الأخيرة فيما يتعلق بالقضايا السياسية. في نوفمبر ، اعتذرت الشركة عن إزالة مقطع فيديو فيروسي يتعلق باضطهاد مسلمي اليوغور في الصين. علاوة على ذلك ، وفقًا لصحيفة نيويورك تايمز ، يخضع التطبيق أيضًا لمراجعة الأمن القومي في الولايات المتحدة.

الآن ، نشرت شركة Check Point Research الأمنية تقريرًا حول الثغرات الأمنية الرئيسية في TikTok والتي تم تصحيحها الآن بواسطة ByteDance. قد تكون هذه الأخطاء قد مكنت المتسللين ليس فقط من الوصول إلى بيانات المستخدم الشخصية ولكن أيضًا التعامل مع حالة ملفهم الشخصي ومقاطع الفيديو الخاصة بهم.

يعرض الفيديو التالي نقاط الضعف هذه في فعل كل من المتسللين وضحاياهم

هذه هي الإجراءات التي قد يقوم بها المهاجم قبل إصلاح العيوب:

الحصول على حسابات TikTok ومعالجة محتواها
حذف مقاطع الفيديو
تحميل مقاطع فيديو غير مصرح بها
اجعل مقاطع الفيديو الخاصة “المخفية” عامة
كشف المعلومات الشخصية المحفوظة على الحساب مثل عناوين البريد الإلكتروني الخاصة

في تصريح لـ ZDNet ، علق Luke Deshotels ، مهندس الأمن في TikTok ، على الأمر بالطريقة التالية:

“تلتزم TikTok بحماية بيانات المستخدم. على غرار العديد من المؤسسات ، نشجع الباحثين في مجال الأمن المسئولين على الكشف بشكل خاص عن مواطن الضعف في اليوم صفر. قبل الكشف العام ، اتفقت CheckPoint على أن جميع المشكلات التي تم الإبلاغ عنها تم تصحيحها في أحدث إصدار من تطبيقنا. نأمل أن هذا القرار الناجح سيشجع التعاون المستقبلي مع الباحثين الأمنيين “.

تلتزم TikTok بحماية بيانات المستخدم

فيما يتعلق بمزيد من التفاصيل حول المشكلات المذكورة أعلاه ، بالنسبة للمبتدئين ، يمكن إنشاء رسالة SMS مزورة ، وذلك ببساطة عن طريق تغيير المعلمة download_url في طلب HTTP تم التقاطه. يمكن بعد ذلك إرسال أي رابط تم إدخاله في مكانه إلى المستخدم كما لو كان قد تم إرساله بواسطة فريق تيك توك . على هذا النحو ، كان من الممكن إرسال روابط ضارة تعيد توجيه المستخدمين إلى مواقع ضارة.

دون الخوض في الكثير من التفاصيل الفنية ، في الأساس ، يمكن إعادة تصميم فتح الرابط المخادع لتقديم طلبات إلى تيك توك مع ملفات تعريف ارتباط الضحايا. هذه هي النقطة التي يمكن فيها استغلال نقاط الضعف الرئيسية الأخرى ؛ بدون وجود أي آلية لتزوير طلب مكافحة المواقع ، يمكن تنفيذ شفرة JavaScript لتنفيذ إجراءات نيابة عن المستخدمين. باستخدام مزيج من طلبات HTTP POST و GET ، أصبح من الممكن الحصول على مقاطع فيديو وتغيير أوضاعها من القطاع الخاص إلى العام ، أو أن يصبحوا تلقائيًا تابعين للمستخدم المستهدف ، أو حتى إنشاء مقاطع فيديو جديدة ونشرها من حساباتهم.

TikTok

مزيد من الخوض في تنفيذ اختبار رمز JS الممكّن لاكتشاف أن استرجاع المعلومات الشخصية من خلال مكالمات API الموجودة بالفعل كان ممكنًا أيضًا. ومع ذلك ، يجب تجاوز آليات الأمان لمشاركة المصادر المتقاطعة (CORS) وسياسة نفس المنشأ (SOP) بطريقة أو بأخرى. لم يثبت ذلك أنه صعب للغاية لأن طريقة استدعاء JSONP “غير التقليدية” تسمح بطلب البيانات دون وجود آليات CORS و SOP بالفعل في TikTok.

على الرغم من ما سبق ذكره ، تم بالفعل إصلاح هذه الثغرات الأمنية من قبل TikTok قبل نشر تقرير Check Point Research اليوم ، إلا أن احتمال خرق البيانات لهذا المقياس كان ممكنًا في المقام الأول يثير أسئلة رئيسية فيما يتعلق بمدى تأمين بيانات المستخدم فعليًا هو عندما يتعلق الأمر بتطبيقات الوسائط الاجتماعية بشكل عام.