TikTok permette(va) di accedere al numero di telefono degli utenti

Ancora problemi per il social network TikTok: una nuova vulnerabilità permetteva di accedere a dati sensibili degli utenti, compreso il numero di telefono

TikTok mostra il numero di telefono degli utenti

Problemi, problemi e ancora problemi per il social network TikTok, che a quanto pare non è in grado di tenere al sicuro e protetti i dati personali dei propri iscritti.

Una nuova vulnerabilità, infatti, permetteva di accedere a dati sensibili degli utenti, compreso il numero di telefono. Ecco cosa sappiamo.

Il nuovo problema di sicurezza di TikTok

Check Point Research (CPR), la divisione Threat Intelligence di Check Point® Software Technologies Ltd.(NASDAQ: CHKP), il principale fornitore di soluzioni di cybersecurity a livello globale, ha identificato una nuova vulnerabilità nell’app TikTok, dopo che ne aveva già scoperta un’altra a cavallo tra 2019 e 2020.

La nuova falla, trovata nella funzione “Trova Amici” di TikTok, consentirebbe di bypassare le protezioni sulla privacy create per difendere gli utenti dell’app.

Se lasciata senza patch, la vulnerabilità permetterebbe a un hacker di accedere ai dettagli del profilo di un utente e anche al numero di telefono associato al suo account, dando la possibilità di costruire un database da utilizzare per attività illecite. 

Quali dati degli utenti sono a rischio?

I dettagli del profilo accessibili tramite questa falla includono: il numero di telefono, il nickname, le immagini del profilo e dell’avatar, gli ID utente unici e alcune impostazioni del profilo, come ad esempio quella che consente a un utente di essere un follower pubblico o anonimo.

Come l’hacker può sfruttare la vulnerabilità?

  1. L’aggessore ha creato un elenco di dispositivi con i loro ID, utilizzati poi per la query dei server di TikTok
  2. Dopodiché ha creato una lista di token di sessione (ognuno valido per 60 giorni) che saranno utilizzati per interrogare i server di TikTok
  3. Ha bypassato il meccanismo HTTP della firma digitale di TikTok utilizzando il proprio servizio di firma, eseguito in background
  4. Infine, ha legato il tutto modificando le richieste HTTP, firmandole di nuovo e utilizzando vari token e ID per bypassare i sistemi di difesa di TikTok

Il problema è già stato corretto, a quanto pare

Dopo averlo individuato, CPR ha comunicato il problema a ByteDance, il produttore di TikTok.

Successivamente, è stato diffuso un aggiornamento per garantire la sicurezza degli utenti di TikTok.

Il problema ora dovrebbe essere stato risolto, ma non possiamo ovviamente essere certi che non vengano scoperti bug o problemi simili in futuro.

Commento di Oded Vanunu, Head of Products Vulnerabilities Research di Check Point: 

“La nostra logica, questa volta, è stata quella di mettere a prova la privacy di TikTok. Eravamo curiosi di sapere se la piattaforma potesse essere usata dagli hacker per ottenere dati privati degli utenti; e la risposta è sì, in quanto siamo stati in grado di bypassare più meccanismi di difesa di TikTok.

Questa vulnerabilità avrebbe potuto permettere ad un aggressore di costruire un database dettagliato degli utenti che, con quel grado di informazioni sensibili, avrebbe permesso all’aggressore di eseguire una serie di attività criminali come lo spear phishing.

Il nostro consiglio agli utenti di TikTok, e non solo, è quello di condividere i propri dati personali solo quando strettamente necessario e soprattutto di aggiornare sempre il sistema operativo e le applicazioni alle ultime versioni.”

Le dichiarazioni di TikTok

“La sicurezza e la privacy della comunità di TikTok hanno la nostra massima priorità, e apprezziamo il lavoro di partner fidati come Check Point nell’identificare potenziali problemi in modo da poterli risolvere prima che colpiscano gli utenti.

Continuiamo a rafforzare le nostre difese, sia aggiornando costantemente le nostre capacità interne come l’investimento in difese di automazione, sia lavorando con terze parti.”

Una considerazione personale

TikTok non mi è mai piaciuto. Quanto appena scoperto non fa altro che confermare i miei dubbi e le mie preoccupazioni su questo social network: sono felice di non averlo mai installato, usato e provato.

FONTE


Aspetta..Prima di lasciare la pagina leggi qui

UNISCITI AL NOSTRO GRUPPO DELLE OFFERTE TECH SU TELEGRAM. OGNI GIORNO TROVI OFFERTE SUPER, SELEZIONATE UNA AD UNA

YOURLIFEUPDATED È STATO SELEZIONATO DAL NUOVO SERVIZIO DI GOOGLE NEWS: se vuoi essere sempre aggiornato sulle nostre notizie SEGUICI QUI

YOURLIFEUPDATED HA UN CANALE TELEGRAM CHE RACCOGLIE TUTTE LE ULTIME NOTIZIE: se vuoi essere sempre aggiornato SEGUICI QUI

YOURLIFEUPDATED HA UN CANALE YOUTUBE CON OLTRE 2500 ISCRITTI, UNISCITI ANCHE TU: se vuoi essere sempre aggiornato SEGUICI QUI

HAI BISOGNO DI ASSISTENZA? Unisciti al nostro Gruppo di supporto - CLICCA QUI

NON HAI ANCORA AMAZON PRIME? Attivalo gratis ORA - CLICCA QUI

CERCHI LE MIGLIORI OFFERTE DI AMAZON? Scoprile QUI sempre aggiornate

In qualità di Affiliato Amazon io ricevo un guadagno dagli acquisti idonei

LASCIA UN COMMENTO

Per favore inserisci il tuo commento!
Per favore inserisci il tuo nome qui