TikTok, scoperte vulnerabilità nell'app del momento

TikTok è una delle applicazioni per i dispositivi Android maggiormente in voga, soprattutto tra i più giovani. Sviluppata da una società cinese, TikTok consente la registrazione di brevi video di durata variabile, compresa tra 15 e 60 secondi, con la possibilità di modificare la velocità di riproduzione, aggiungere filtri ed effetti particolari.

Gli esperti di Check Point hanno tuttavia scoperto e dimostrato la presenza di alcune vulnerabilità di sicurezza nella popolare app avvisando privatamente la software house sviluppatrice, ByteDance, lo scorso novembre.

Adesso che tutte le lacune ad oggi conosciute sono state risolte (agli utenti viene consigliato l’immediato aggiornamento dell’applicazione attraverso il Play Store di Google), Check Point analizza la natura delle problematiche di sicurezza che fino a poco tempo fa permettevano il caricamento di video non autorizzati e la cancellazione di contenuti dagli account degli utenti, la modifica delle politiche di condivisione di ciascun video (contenuti privati potevano diventare pubblici) nonchè l’estrazione di dati personali sensibili come nome e cognome, indirizzo email e data di nascita.

Abbinando un attacco via SMS a tecniche di ingegneria sociale, l’utente di TikTok che faceva clic sul link presente nel messaggio ricevuto, poteva inconsapevolmente consegnare il proprio account o i propri dati personali agli aggressori remoti.

Una falla grave per l’app TikTok che, come dimostrato nel video di Check Point che pubblichiamo di seguito, non controllava la provenienza degli SMS e autorizzava modifiche disposte attraverso il caricamento di un semplice URL ospitato su server di terze parti.

Proseguendo con il “pugno duro” nei confronti delle realtà cinesi, i principali enti militari statunitensi (esercito, marina, corpo dei Marines e Air Force) avevano precedentemente disposto il “bando” di TikTok vietandone l’installazione e l’utilizzo su qualsiasi terminale mobile di membri delle forze armate USA. L’iniziativa venne giustificata spiegando come i principi di funzionamento di TikTok necessitassero di ulteriori verifiche.

Da parte loro, i responsabili di TikTok avevano risposto alla “censura” osservando come i dati di tutti i cittadini statunitensi venissero gestiti negli USA e salvati sotto forma di backup su server fisicamente posizionati a Singapore. Nessun dato veniva trasferito verso server posti entro i confini cinesi e nessun trattamento di dati soggiaceva alla legislazione di Pechino.