Дослідницька фірма з питань кібербезпеки Check Point Research стверджує, що виявила “численні вразливості” в додатку TikTok для відеообміну.
Як пише TheVerge, фахівці Check Point виявили, що можна підробляти текстові повідомлення, щоб вони з’явилися нібито від імені самого сервісу TikTok. Як тільки користувач натиснув фальшиве посилання, хакер отримав би доступ до налаштувань його облікового запису TikTok, включаючи завантаження та видалення відео та зміну налаштувань існуючих відео з публічних на приватні. Check Point також встановив, що інфраструктура TikTok дозволила б хакеру перенаправити зламаного користувача на шкідливий веб-сайт, схожий на домашню сторінку TikTok. Це могло поєднуватися з міжсайтовим сценарієм та іншими атаками на екаунт користувача.
Надсилання посилань та іншої захищеної інформації через SMS – це відома проблема безпеки та улюблений метод для кіберзлочинців, які хочуть отримати доступ до телефонів користувачів. У 2014 році Офіс комісара з питань інформації Великобританії оштрафував компанію-промоутера на понад 100 000 доларів США за розсилку підроблених текстових повідомлень концертмейстерам та музикантам, які нібито надходили від їхніх матерів. Amnesty International зафіксував у 2018 році, як хакери могли обійти двофакторні гарантії аутентифікації Gmail та Yahoo, перехопивши коди підтвердження аутентифікації за допомогою SMS-повідомлення.
Check Point повідомляє, що повідомила материнську компанію TikTok про вразливості безпеки в листопаді, і розробники програми на даний момент усунула проблему.
“TikTok зобов’язаний захищати дані користувачів. Як і багато організацій, ми заохочуємо відповідальних дослідників безпеки приватно повідомляти нам про уразливі місця “, – сказав у своїй заяві член групи безпеки компанії TikTok Люк Десхотельс. “Перед публічним розкриттям, фахівці з Check Point впевнилися, що всі повідомлення про проблеми були виправлені в останній версії нашого додатка. Ми сподіваємось, що ця успішна резолюція сприятиме подальшій співпраці з дослідниками безпеки”.
Провідний дослідник звіту Check Point Одід Вануну заявив, що додаток на зразок TikTok , який вже має близько двох мільярдів глобальних користувачів всього за два з половиною роки з моменту запуску за межами Китаю – є надзвичайно привабливою ціллю для хакерів через кількість даних і великий обсяг приватної інформації, якою учасники обмінюються між собою. Оскільки такі програми, як TikTok, можна використовувати на різних платформах, зловмисникам легше швидко нарощувати свою активність, сказав він.
“Ми бачимо величезну кількість шкідливої активності в чатах та соціальних мережах”, – сказав Вануну в інтерв’ю виданню The Verge. “Ми намагаємось переконатись, що люди розуміють, що кіберпростір – це те, що не просто починається і не закінчується на складній платформі, а якщо ви знаходитесь в кіберпросторі, навіть для щоденної активності, ваші дані та конфіденційність під загрозою”.
І не лише нові програми, такі як TikTok, вразливі до нападу, додав Вануну. “Навіть старі стабільні програми, з однієї точки зору, більш-менш захищені, але потенційно там є набагато більше можливостей для зловживань, оскільки у них так багато користувачів”, – сказав він.
TikTok належить китайській компанії ByteDance. Комітет з іноземних інвестицій у США говорить, що додаток може викликати загрозу національній безпеці для американців і, можливо, використовуватиметься для впливу або стеження за ними. Армія США заборонила військовим використовувати додаток TikTok на службових смартфонах, називаючи це кіберзагрозою.
Вануну сказав, що дослідження Check Point не розглядали питання про те, чи впливає TikTok на якісь конкретні проблеми національної безпеки, але не важко було зробити певні висновки на основі того, що знайшли дослідники.
“Ви можете зв’язати крапки у лінію і таким чином побачити, що це може бути фактором у геополітичній кібер-війні”, – сказав він.
До речі, швидкий розвиток технологій сприяв тому, що тепер смартфони мають функціонал персонального комп’ютера. З їх допомогою можна спілкуватися в соцмережах, перевіряти пошту, здійснювати Інтернет-замовлення та розраховуватися онлайн. Водночас розширення функціональних можливостей призвело до зростання кількості випадків інфікування мобільних пристроїв шкідливими програмами. У цій статті Ви знайдете основні поради для захисту смартфона та конфіденційних даних на ньому.
Звернуть увагу, що дуже багато технологій, які розвиває Apple, насправді спочатку належали не їй, а якомусь дрібному стартапу. Вони просто вчасно знаходили потрібну ідею і поглинали компанію з перспективними напрацюваннями, які часто ставали новим трендом для галузі. Так було з Siri, Face ID, Animoji і багато чим ще. Але у функції ЕКГ в Apple Watch не менш цікава історія.
Читайте також: Злочинну групу, яка скуповувала клієнтські бази даних та у подальшому використовувала їх для виманювання коштів громадян методами психологіного впливу, викрила кіберполіція України.
Цікаво знати, що коли компанія-розробник програмного забезпечення Greenspector провела безліч тестів, включаючи тестування споживання мобільних даних, то перше місце дісталося не Google Chrome.
Твіттер забороняє файли анімованих зображень PNG (APNG) на своїй платформі після нападу на Twitter-екаунт Фонду Епілепсії, коли масово надсилалися анімовані зображення, які потенційно можуть спричинити напади епілепсії у світлочутливих людей.
20 тисяч серверів зламали кіберзлочинці шляхом цілеспрямованих атак на приватні оргнаізації та конкретних осіб. До складу злочинного угруповання входили троє українців та один іноземець. Усі вони були відомими учасниками хакерських форумів та здійснювали замовлення щодо зламу віддалених серверів, розташованих на території України, Європи та США.