В мессенджере Tik Tok обнаружено множество уязвимостей

Соответствующий обзор информационной безопасности приложения подготовлен израильской компанией Check Point.

Мессенджер Тик Ток набирает всю большую и большую популярность. Изначально он позиционировался как приложения для конфиденциального общения (аналог телеграма). Сегодня он доступен на 75 языках в 150 странах. Всего же приложение установили по всему Миру более миллиарда пользователей. Наиболее часто данный мессенджер используют дети и тинейджеры для обмена короткими клипами на 3-20 секунд. Так ли он безопасен с точки зрения информационной безопасности?

В последние месяцы исследовательская группа ИБ компании Check Point обнаружили множество уязвимостей в TikTok. Данные уязвимости позволяют злоумышленникам выполнять следующие действия:

  • Доступ к учетным записям Tik Tok и манипулирование контентом
  • Удаление видео
  • Загрузка нежелательных видео
  • Изменение формата «скрытых» видео на общедоступные
  • Раскрытие личной информации, хранящейся аккаунте (например, адреса электронной почты).

Одна из наиболее интересных уязвимостей – возможность отправить кому угодно SMS сообщение от лица Tik Tok (приложение содержит функционал приглашения пользователей на главной странице сайта). Злоумышленники, желающие отправить SMS-сообщение жертве, могут перехватить HTTP-запрос с помощью прокси-инструмента (например, Burp Suite). Параметр Mobile содержит номер телефона, на который будет отправлено SMS, а параметр download_url — ссылку, которая появится в SMS-сообщении, таким образом может быть заменен официальный URL на любой сторонний.