TikTok يصحح استغلال كاد يسمح للمهاجمين بسرقة أرقام هواتف المستخدمين
في وقت سابق من هذا العام، أطلقت TikTok برنامج مكافأة الأخطاء بعد اكتشاف نقاط الضعف والتهديدات بالحظر من قبل إدارة دونالد ترامب السابقة، يبدو أن هذا الجهد قد حقق أرباحًا، حيث أنه أصلح مؤخرًا عيبًا خطيرًا اكتشفته شركة الأمن Check Point Research.
كانت الثغرة الأمنية ستسمح للمهاجمين باستخدام ميزة "Friend Finder" للتطبيق لسرقة تفاصيل ملفات تعريف المستخدمين وأرقام هواتفهم، ثم إنشاء قاعدة بيانات للمعلومات التي يمكن استخدامها للهجمات الضارة.
طور باحثو Check Point ثغرة بعد ملاحظة وجود خلل في الطريقة التي أكدت بها خوادم تيك توك أن طلبات Friend Finder تأتي من هواتف شرعية، باستخدام معرّف جهاز فريد لكل هاتف مستخدم، يُنشئ التطبيق رمزًا مميزًا للمستخدم وملف تعريف ارتباط للجلسة، ومع ذلك، وجد الفريق أن ملفات تعريف الارتباط كانت صالحة لمدة تصل إلى 60 يومًا، مما يسمح باستخدامها في الأجهزة الافتراضية بدلاً من الهواتف الفعلية.
كان من الممكن أن تكون الثغرة الأمنية قد سمحت للمهاجمين ببناء قاعدة بيانات لتفاصيل المستخدم وأرقام هواتفهم، يمكن للمهاجم بهذه الدرجة من المعلومات الحساسة تنفيذ مجموعة من الأنشطة الضارة، مثل التصيد بالرمح أو الإجراءات الإجرامية الأخرى.
باستخدام بعض أدوات القرصنة، يمكنهم تجاوز توقيع رسائل HTTP الخاصة بـ TikTok، وتغيير الوظيفة للحصول على جهات اتصال وإعادة توقيع الطلب، لأن كل هذا تم في جهاز افتراضي، يمكن أتمتة العملية، يتيح ذلك للباحثين إنشاء قاعدة بيانات تضم أرقام هواتف المستخدمين وألقابهم وصور الملف الشخصي والصور الرمزية ومعرفات المستخدم الفريدة والإعدادات مثل ما إذا كان المستخدم تابعًا أو إذا كان ملف تعريف المستخدم مخفيًا، وفقًا لـ Check Point.
يقدم عيب سابق في Facebook مثالاً جيدًا على كيفية استخدام مثل هذا الاستغلال، تمكن مجرمو الإنترنت من انتزاع العديد من أرقام الهواتف التي أدخلها مستخدمو فيسبوك والتي كان من المفترض أن تكون خاصة وأنشأوا قاعدة بيانات تصل إلى 500 مليون مستخدم، ثم قاموا بإنشاء روبوت Telegram الذي سيكشف عن الأرقام لأي شخص يرغب في الدفع ، وفقًا لماذربورد.
قالت Check Point إنها اكتشفت الثغرة الأمنية - الثانية التي اكتشفتها في العام الماضي - خلال الأشهر القليلة الماضية، وقالت الشركة: "أبلغت Check Point Research مطوري TikTok وفرق الأمان بشأن هذه المشكلة وتم نشر حل مسؤول لضمان استمرار المستخدمين بأمان في استخدام تطبيق TikTok".
في حين أن التهديد بالحظر الوشيك قد اختفى جنبًا إلى جنب مع إدارة ترامب، فإن TikTok ستظل بلا شك قيد الفحص لأن شركة ByteDance تقع في الصين، على هذا النحو، فإنه لديه مصلحة في الحفاظ على أمان التطبيق وتشجيع الآخرين على التحقيق فيه.
وقال متحدث باسم TikTok في بيان: "نواصل تعزيز دفاعاتنا، من خلال التحديث المستمر لقدراتنا الداخلية مثل الاستثمار في دفاعات الأتمتة وأيضًا من خلال العمل مع أطراف ثالثة".