Non cessano i problemi per TikTok. Dopo il provvido stop da parte del Garante per la protezione dei dati personali in seguito ai tragici eventi di Palermo, che obbliga TikTok a trovare una soluzione per il controllo dell’età, il Check Point Research, la divisione Threat Intelligence di Check Point Software Technologies, ha identificato una nuova vulnerabilità nell’app TikTok, dopo che ne aveva già scoperta un’altra a cavallo tra 2019 e 2020.
Check Point Research ha comunicato le sue scoperte a ByteDance, il produttore di TikTok. Successivamente ha diffuso un aggiornamento per garantire la sicurezza degli utenti di TikTok.
La nuova falla è stata trovata nella funzione Trova Amici di TikTok e consentirebbe di bypassare le protezioni sulla privacy create per difendere gli utenti dell’app.
Se lasciata senza patch la vulnerabilità permette a un hacker di accedere ai dettagli del profilo di un utente e anche al numero di telefono associato al suo account, dando la possibilità di costruire un database da utilizzare per attività illecite.
I dettagli del profilo accessibili tramite questa falla includono il numero di telefono, il nickname, le immagini del profilo e dell’avatar, gli ID utente unici e alcune impostazioni del profilo, come quella che consente a un utente di essere un follower pubblico o anonimo.
Come l’hacker ha sfruttato la vulnerabilità?
Check Point Research spiega che l’aggressore ha creato un elenco di dispositivi con i loro ID, utilizzati poi per la query dei server di TikTok.
Dopodiché ha creato una lista di token di sessione, ognuno valido per 60 giorni, che saranno utilizzati per interrogare i server di TikTok.
In segiuto ha bypassato il meccanismo HTTP della firma digitale di TikTok utilizzando il proprio servizio di firma, eseguito in background.
Infine, ha collegato il tutto modificando le richieste HTTP, firmandole di nuovo e utilizzando vari token e ID per bypassare i sistemi di difesa di TikTok.
