Jedna z najpopularniejszych aplikacji społecznościowych jest poddawana dokładniejszej kontroli nad wyciekami danych, ponieważ wykryto możliwe naruszenie bezpieczeństwa TikTok, które może mieć wpływ na ponad miliard użytkowników.
W poniedziałek wielu specjalistów ds. cyberbezpieczeństwa napisało na Twitterze o rzekomym odkryciu luki w zabezpieczeniach niezabezpieczonego serwera, która umożliwiała dostęp do pamięci TikTok, która ich zdaniem zawierała dane osobowe użytkowników. Zaledwie kilka dni temu Microsoft Corp. ogłosił odkrycie „podatności o wysokim stopniu ważności”, która może spowodować naruszenie TikTok w aplikacji na Androida, „co pozwoliłoby atakującym na złamanie zabezpieczeń kont użytkowników jednym kliknięciem”.
TikTok, z ByteDance Ltd., przekroczył miliard użytkowników miesięcznie rok temu i jest teraz ulubioną aplikacją wielu młodych ludzi. W rezultacie jest atrakcyjnym celem dla hakerów, którzy chcą ukraść popularne konta lub odsprzedać krytyczne informacje. Administracja Trumpa sklasyfikowała go jako zagrożenie dla prywatności w 2020 roku i prawie zakazała go z powodu obaw o potencjalne powiązania między jego firmą macierzystą z siedzibą w Pekinie a chińskim rządem.
Naruszenie bezpieczeństwa TikTok zostało zbagatelizowane przez firmę
TikTok stwierdził, iż doniesienia o wykryciu naruszenia w weekend były fałszywe. Według przedstawiciela: „Nasz zespół ds. bezpieczeństwa zbadał to oświadczenie i ustalił, iż kwestionowany kod jest całkowicie niezwiązany z kodem źródłowym zaplecza TikTok”.
Troy Hunt, australijski analityk ds. bezpieczeństwa online, zbadał niektóre skradzione próbki danych i odkrył podobieństwa między profilami użytkowników a filmami przesłanymi pod tymi identyfikatorami. Jednak część informacji zawartych w wycieku to „publicznie dostępne dane, które można było skonstruować bez naruszenia”. On wysłano na Twitterze, że:
„Jak dotąd jest to dość niejednoznaczne; niektóre dane pasują do informacji o produkcji, aczkolwiek publicznie dostępnych. Niektóre dane to śmieci, ale mogą to być dane nieprodukcyjne lub testowe. Jak na razie to trochę mieszana torba.
Microsoft odkrył węższą lukę, która mogła mieć wpływ na telefony komórkowe z systemem Android. Mogło to umożliwić atakującym dostęp do „profili TikTok i poufnych informacji” i ich modyfikację, na przykład poprzez publikowanie prywatnych filmów wideo, wysyłanie wiadomości i przesyłanie filmów w imieniu użytkowników – powiedział Dimitrios Valsamaras z Microsoft 365 Defender Research Team. Według rzeczniczki TikTok, firma natychmiast zareagowała na ustalenia Microsoftu i naprawiła lukę w zabezpieczeniach wykrytą „w niektórych starszych wersjach aplikacji na Androida”.
Wycieki danych spowodowane przez TikTok są poważnym problemem dla USA
Niezależnie od tego, jak niejednoznaczne lub niewielkie są wady, TikTok i jego spółka macierzysta zostaną dokładnie zbadane w czasie, gdy Stany Zjednoczone mogą zaostrzyć sankcje wobec korporacji powiązanych z Chinami. W czerwcu dziewięciu amerykańskich senatorów zażądało od dyrektora generalnego TikTok wyjaśnienia rzekomych naruszeń bezpieczeństwa w krótkim czasie list publiczny.
Prezydent Joe Biden ma podpisać dekret ograniczający amerykańskie inwestycje w chińskie firmy technologiczne. Możliwe jest też zastosowanie osobnego środka wymierzonego w TikTok, przy czym administracja będzie bacznie obserwować, czy chiński rząd ma dostęp do amerykańskich danych użytkowników. Korporacja poinformowała Kongres USA, iż podjęła środki ostrożności w celu ochrony takich danych poprzez umowę z Oracle Corp.
„Wiele uwagi poświęca się sposobowi działania TikTok i istnieje duża przepaść między tym, jak działa, a tym, jak mówi, iż działa” – powiedział Robert Potter, co-CEO australijsko-amerykańskiego biznesu cyberbezpieczeństwa Internet 2.0 Inc. nauka wydany w lipcu zespół Pottera stwierdził, iż wykrył „nadmierne zbieranie danych” przez TikTok na urządzeniach użytkowników, iż aplikacja sprawdza położenie urządzenia co najmniej raz na godzinę oraz iż zawiera kod, który gromadzi numery seryjne zarówno urządzenia, jak i karty SIM . TikTok odrzucił ustalenia, twierdząc, iż „niewłaściwie podaje ilość gromadzonych przez nas danych”.
3/ Internet 2.0 błędnie podaje ilość gromadzonych przez nas danych. Na przykład nie gromadzimy numeru IMEI urządzenia użytkownika, numeru seryjnego karty SIM, informacji o aktywnej subskrypcji ani numeru identyfikacyjnego karty układu scalonego, ani nie zbieramy dokładnej lokalizacji GPS.
— TikTokComms (@TikTokComms) 18 lipca 2022 r
The Aktualności zwróciła na siebie uwagę w Australii, a Clare O’Neil, nowa minister spraw wewnętrznych, ujawniła w poniedziałek, iż poleciła swojej agencji sprawdzenie, jakie dane zbiera TikTok i kto ma do nich dostęp. O’Neil powiedział w e-mailowych uwagach, że:
„Mamy tutaj ten podstawowy problem, gdzie mamy firmy technologiczne, które mają siedziby w krajach o bardziej autorytarnym podejściu do sektora prywatnego. TikTok nie jest początkiem i końcem tego. Jest to jeden z bardzo wielu problemów spowodowanych przez te dominujące firmy technologiczne i rolę, jaką odgrywają w naszym życiu”.
TikTok może być „keylogingiem”, który może powodować wycieki danych
Inne nauka W zeszłym miesiącu badacz bezpieczeństwa Felix Krause skoncentrował się na przeglądarkach w aplikacjach, który stworzył narzędzie do weryfikacji działania programów w WebView. W badaniu, które skupiło się na lukach w zabezpieczeniach aplikacji mobilnych korzystających z przeglądarek w aplikacji, zbadano około 25 najpopularniejszych aplikacji na iOS i odkryto, iż TikTok stosuje metodę keyloggera w swojej przeglądarce w aplikacji. Według Krause „TikTok iOS subskrybuje każde naciśnięcie klawisza (wprowadzanie tekstu) na stronach internetowych stron trzecich renderowanych w aplikacji TikTok. Może to obejmować hasła, informacje o kartach kredytowych i inne wrażliwe dane użytkownika”.
Zauważył również, iż wersja TikTok na iOS wykorzystywała kod JavaScript do analizowania tego, co kliknął użytkownik. Chociaż Krause przyznał, iż nie miał pojęcia, co TikTok robi z subskrypcją, twierdził, iż odpowiedź TikTok w Artykuł Forbesa wykazał, iż ma zdolność keyloggera. TikTok odpowiedział na Cel techniczny w oświadczeniu stwierdzającym, iż wyniki raportu są nieprawidłowe i mylące: „Badacz wyraźnie twierdzi, iż kod JavaScript nie oznacza, iż nasza aplikacja robi coś złośliwego i przyznaje, iż nie ma możliwości dowiedzenia się, jakie dane zbiera nasza przeglądarka w aplikacji. W przeciwieństwie do twierdzeń zawartych w raporcie, nie zbieramy danych wprowadzanych przez naciśnięcia klawiszy ani tekstów dzięki tego kodu, który służy wyłącznie do debugowania, rozwiązywania problemów i monitorowania wydajności”.
Jednak eksperci ds. bezpieczeństwa informacji uważają, iż wykorzystanie przez TikTok keyloggera do debugowania jest ograniczone. Na przykład rozwiązywanie problemów jest często podawane przez system operacyjny, a nie oprogramowanie, według Chestera Wiśniewskiego, głównego naukowca w Sophos. Na przykład firma Apple byłaby odpowiedzialna za problemy z iPhonem i Google dla Androida, ponieważ używają odpowiednio Safari i Chrome.
Według Nicka DeLena, partnera w firmie konsultingowej DGC, która specjalizuje się w cyberbezpieczeństwie i prywatności, keyloggery są często postrzegane jako naruszenie prywatności, a gdy okazuje się, iż korzysta z nich aplikacja lub usługa, są one zwykle zmuszane do innego sposobu debugowania . Według DeLena, ryzyko związane z oprogramowaniem TikTok jest szczególnie duże, ponieważ chiński rząd ma udziały w firmie macierzystej TikTok, ByteDance.
Niezależnie od tego, czy TikTok korzysta wyłącznie z możliwości debugowania, może przez cały czas stanowić zagrożenie bezpieczeństwa dla organizacji. Według Tima Mackeya, głównego stratega bezpieczeństwa w Synopsys, jeżeli program jest używany w pracy, poufne informacje firmowe mogą być zawarte w pakiecie danych keyloggera. Chociaż wiele firm uniemożliwia pobieranie niektórych aplikacji lub usług na urządzenia służbowe, zarządzanie rosnącą liczbą pracowników zdalnych może być problematyczne. Przejście pogłębiło podział między pracą a życiem osobistym.
Wiśniewski podkreślił, iż ludzie coraz częściej używają osobistych telefonów lub tabletów do zadań związanych z pracą i mogą być nieświadomi potencjalnych zagrożeń, mówiąc: „Wystarczy tylko chwila, aby się zdezorientować, czy jesteś aktualnie w firmowej przeglądarce internetowej, czy może być w przeglądarce TikTok w aplikacji przez przypadek i zacząć robić rzeczy firmowe, a to ogromne ryzyko wycieku danych”.
Mamy nadzieję, iż podobał Ci się ten artykuł o możliwym naruszeniu TikTok, który rodzi pytania dotyczące wycieków danych i bezpieczeństwa. jeżeli tak, jesteśmy pewni, iż spodoba ci się również czytanie niektórych naszych innych artykułów, takich jak poprawka bezpieczeństwa Apple iPhone dla błędu zero-day lub luka Zoom Mac umożliwiająca hakerom uzyskanie zdalnego dostępu.