חוקרי צ'ק פוינט איתרו חולשות אבטחה משמעותיות באפליקציה הפופולרית טיק טוק, שלה למעלה ממיליארד משתמשים ב-150 מדינות. חולשות האבטחה שאותרו אפשרו לתוקפים לבצע מגוון פעולות בחשבונות של משתמשים, להסיר ולשנות הגדרות פרטיות של סרטונים ואף לגנוב מידע אישי שהזינו המשתמשים בעת ההרשמה לאפליקציה.
לדברי החוקרים, אלון בוקסינר, ערן וקנין, אלכסיי וולודין, דיקלה ברדה ורומן זאיקין, החולשות שנמצאו מאפשרות לתוקפים להוסיף ולמחוק סרטונים, לשנות את הגדרת הפרטיות של הסרטונים (פרטי לפומבי) ואף לגנוב פרטים אישיים.
טיקטוק, אשר בבעלות החברה הסינית בייטדאנס, עקפה את אינסטגרם וסנאפצ'ט במדדים רבים ובנובמבר האחרון הפכה לאפליקציה עם הכי הרבה הורדות בחנויות האפליקציות (למעלה מ-1.5 מיליארד הורדות). ילדים ובני נוער מפרסמים בה סרטונים קצרים, עד 60 שניות. היא מאפשרת, בין היתר, להוסיף מוזיקת רקע לסרטונים, לערוך את הסרטונים ולהוסיף אפקטים, ומתוקף כך היא מאחסנת כמויות עצומות של סרטונים (ובכללותם סרטונים רגישים) של המשתמשים.
חולשות אבטחה שאותרו באפליקציה אפשרו לתוקף לשלוח הודעה עם קישור זדוני מתוך מערכת ההודעות של האפליקציה. הקלקה על הקישור אפשרה לתוקף להגיע לחשבון של הקורבן ולבצע מניפולציות בתוכן הקיים בחשבון. התברר, כי גם אתר-משנה של האפליקציה היה חשוף למתקפות שאפשרו לתוקפים לדלות פרטים אישיים אותם הקלידו משתמשי האפליקציה בעת ההרשמה, ובכלל זאת שמות מלאים, כתובות מגורים, כתובות אימייל ותאריכי ימי הולדת.
עוד בנושא:
ראש מחלקת חולשות מוצרים בצ'ק פוינט, עודד ואנונו, שעמד בראש המחקר: "פירצות אבטחה שמובילות לזליגת מידע רגיש הן תופעה שהולכת וצוברת תאוצה. מרבית המשתמשים באפליקציות הללו יוצאים מנקודת הנחה שהאפליקציות הפופולריות הן בטוחות במיוחד, אך האקרים משקיעים משאבים ומאמצים רבים בכדי לחדור אליהן וזאת בשל המידע האישי העצום שקיים בהן על כל משתמש ומשתמשת. המחקרים שלנו מוכיחים שגם האפליקציות הכי פופולריות בעולם נמצאות תחת סיכון".
צ'ק פוינט הודיעה לטיק טוק על ממצאיה וטיקטוק תיקנה את הפירצה. ד"ר לוק דשוטלס (Luke Deshotels) מצוות אבטחת המידע של טיק טוק מסר כי "טיקטוק מחויבת להגנה על המידע שיש בה. בדומה לארגונים רבים אחרים, אנו מעודדים חוקרי אבטחת מידע להעביר לידינו את ממצאיהם ביחס לחולשות חדשות. צ'ק פוינט הכירה בכך שכל החולשות שנמצאו על ידיה תוקנו בגרסה האחרונה של האפליקציה ואנו מקווים שפתרון מוצלח זה יעודד עוד שיתופי פעולה עם חוקרי אבטחת מידע נוספים".