Imperva’dan siber güvenlik araştırmacıları, popüler sosyal medya uygulaması TikTok’ta, tehdit aktörlerinin kimlik hırsızlığı saldırıları, kimlik avı veya şantaj için kullanılmak üzere kurban cihazlardan hassas verileri sızdırmasına izin verebilecek bir kusur ortaya çıkardı.
O zamandan beri düzeltilen güvenlik açığı, uygulamanın gelen mesajları işleme biçiminde bulundu. Yöntemi açıklayan araştırmacılar, saldırganların PostMessage API aracılığıyla TikTok web uygulamasına herhangi bir güvenlik önlemini geçebilecek kötü niyetli bir mesaj gönderebileceğini söyledi.
Mesaj olay işleyicisi daha sonra mesajı işler ve güvenli kabul ederek saldırganın değerli bilgilere erişmesine izin verir.
Kullanıcı hesabı ayrıntıları
Saldırganlar güvenlik açığından yararlanarak, kullanıcı cihaz verileri (cihaz türü, işletim sistemi, kullanılan tarayıcı vb.), görüntülenen videolar (kurbanın hangi videoları izlediği), harcanan zaman gibi değerli verilere erişim sağlayabilir. her videoda, kullanıcı hesabı verileri (kullanıcı adları, videolar, diğer hesap ayrıntıları), arama sorguları (kullanıcının platformda aradıkları).
Güvenlik açıkları olmasa bile TikTok, en hafif deyimiyle tartışmalı bir uygulamadır. ByteDance adlı Çinli bir şirket tarafından inşa edildi ve 1,5 milyardan fazla kullanıcısı var (yalnızca ABD’de 150 milyondan fazla).
Son zamanlarda, ABD hükümeti Çinli şirketleri incelemeye ve yasaklamaya başladı, hükümetlerinin onları sıkı bir şekilde kontrol ettiğini ve onları herhangi bir noktada yetkisiz arka kapı erişimine izin vermeye zorlayabileceğini iddia etti.
Huawei’nin Amerika’da 5G altyapısını geliştirmesi tam da bu nedenle yasaklandı. TikTok’a gelince, ABD hükümeti önce şirketi ülkedeki tüm verileri depolamaya zorladı ve ardından yakın zamanda çalışanlarına ulusal güvenlik konularını gerekçe göstererek uygulamayı devlet tarafından verilen cihazlardan kaldırmalarını söyledi.
TikTok, diğer birçok Çinli şirket gibi, herhangi bir suça karıştığını reddediyor.