Одно из самых популярных приложений для социальных сетей подвергается более тщательной проверке в связи с утечкой данных, поскольку было обнаружено возможное нарушение безопасности TikTok, которое может затронуть более миллиарда пользователей.
В понедельник несколько специалистов по кибербезопасности написали в Твиттере о предполагаемом обнаружении уязвимости незащищенного сервера, которая позволила получить доступ к хранилищу TikTok, в котором, по их мнению, хранятся личные данные пользователей. Всего несколько дней назад Microsoft Corp. объявил об открытии об «уязвимости высокой степени серьезности», которая может привести к взлому TikTok в приложении для Android, «что позволило бы злоумышленникам взломать учетные записи пользователей одним щелчком мыши».
TikTok от ByteDance Ltd. год назад превысил миллиард пользователей в месяц и теперь является любимым приложением многих молодых людей. В результате это привлекательная цель для хакеров, стремящихся украсть популярные учетные записи или перепродать важную информацию. Администрация Трампа классифицировала его как угрозу конфиденциальности в 2020 году и почти запретила его из-за опасений по поводу потенциальных связей между его базирующейся в Пекине материнской фирмой и правительством Китая.
Нарушение безопасности TikTok было преуменьшено фирмой
TikTok заявил, что сообщения о взломе, обнаруженном в выходные, были ложными. По словам представителя: «Наша группа безопасности изучила это заявление и определила, что рассматриваемый код совершенно не связан с исходным кодом серверной части TikTok».
Трой Хант, австралийский аналитик онлайн-безопасности, изучил некоторые из украденных образцов данных и обнаружил сходство между профилями пользователей и фильмами, представленными под этими идентификаторами. Однако часть информации в утечке была «общедоступными данными, которые могли быть созданы без нарушения». Он опубликовано в Твиттере, что:
«Это пока довольно неубедительно; некоторые данные соответствуют производственной информации, хотя и общедоступной. Некоторые данные являются ненужными, но это могут быть непроизводственные или тестовые данные. Пока что это немного смешанная ситуация».
Microsoft обнаружила более узкую уязвимость, которая могла повлиять на мобильные телефоны на базе Android. Это могло предоставить злоумышленникам доступ к «профилям TikTok и конфиденциальной информации» и их изменение, например, путем публикации частных видео, отправки сообщений и загрузки видео от имени пользователей», — заявил Димитриос Вальсамарас из исследовательской группы Microsoft 365 Defender. По словам представителя TikTok, компания немедленно отреагировала на выводы Microsoft и исправила уязвимость, обнаруженную «в некоторых старых версиях приложения для Android».
Утечки данных, вызванные TikTok, вызывают серьезную озабоченность США
Независимо от того, насколько неубедительными или незначительными являются недостатки, TikTok и его материнская компания будут тщательно изучены в то время, когда США могут ужесточить свои санкции против корпораций, связанных с Китаем. В июне девять сенаторов США потребовали, чтобы генеральный директор TikTok объяснил предполагаемые недостатки безопасности в публичное письмо.
Президент Джо Байден собирается подписать распоряжение, ограничивающее инвестиции США в китайские технологические предприятия, и возможна отдельная мера, направленная против TikTok, при этом администрация будет внимательно следить за тем, имеет ли правительство Китая доступ к американским пользовательским данным. Корпорация проинформировала Конгресс США о том, что приняла меры предосторожности для защиты таких данных в рамках сделки с Oracle Corp.
«Много внимания уделяется тому, как работает TikTok, и существует большой разрыв между тем, как он работает, и тем, как он говорит, что он работает», — сказал Роберт Поттер, со-генеральный директор австралийско-американского бизнеса по кибербезопасности Internet 2.0 Inc. исследование выпущенном в июле, команда Поттера заявила, что обнаружила «чрезмерный сбор данных» TikTok на пользовательских устройствах, что приложение проверяет положение устройства не реже одного раза в час и что оно содержит код, который собирает серийные номера как для устройства, так и для SIM-карты. . TikTok отклонил выводы, заявив, что они «искажают объем данных, которые мы собираем».
3/ Интернет 2.0 искажает объем собираемых нами данных. Например, мы не собираем IMEI пользовательского устройства, серийный номер SIM-карты, информацию об активной подписке или идентификационный номер карты с интегральной схемой, а также не собираем точное местоположение GPS.
— ТикТокКоммс (@TikTokComms) 18 июля 2022 г.
Новости привлекла широкое внимание в Австралии, и Клэр О’Нил, новый министр внутренних дел, сообщила в понедельник, что она поручила своему агентству изучить, какие данные собирает TikTok и кто имеет к ним доступ. О’Нил сказал в комментариях по электронной почте, что:
«У нас есть эта основная проблема, когда у нас есть технологические компании, базирующиеся в странах с более авторитарным подходом к частному сектору. TikTok — это не начало и не конец этого. Это одна из очень многих проблем, которые возникают из-за этих очень доминирующих технологических компаний и той роли, которую они играют в нашей жизни».
TikTok может быть «кейлоггером», что может привести к утечке данных
Другая исследование В прошлом месяце исследователь безопасности Феликс Краузе сосредоточился на встроенных в приложения браузерах, создав инструмент для проверки того, что программы делают в WebView. В ходе исследования, посвященного уязвимостям мобильных приложений, использующих встроенные браузеры, было изучено около 25 самых популярных приложений для iOS, и было обнаружено, что TikTok использует метод кейлоггинга в своем встроенном браузере. По словам Краузе, «TikTok iOS подписывается на каждое нажатие клавиши (ввод текста), происходящее на сторонних веб-сайтах, отображаемое в приложении TikTok. Это может включать пароли, информацию о кредитной карте и другие конфиденциальные данные пользователя».
Он также заметил, что версия TikTok для iOS использует код JavaScript для анализа того, на что нажал пользователь. Хотя Краузе признал, что понятия не имеет, что TikTok делает с подпиской, он заявил, что ответ TikTok в Статья Форбс продемонстрировал, что он имеет возможность кейлоггинга. ТикТок ответил на ТехТаржет в заявлении, в котором говорится, что выводы отчета неверны и вводят в заблуждение: «Исследователь конкретно говорит, что код JavaScript не означает, что наше приложение делает что-то злонамеренное, и признает, что у них нет возможности узнать, какие данные собирает наш браузер в приложении. Вопреки заявлениям в отчете, мы не собираем информацию о нажатиях клавиш или вводе текста с помощью этого кода, который используется исключительно для отладки, устранения неполадок и мониторинга производительности».
Однако эксперты по информационной безопасности считают, что TikTok использует кейлоггинг для отладки ограничено. Например, по словам Честера Вишневски, главного научного сотрудника Sophos, устранение неполадок часто осуществляется операционной системой, а не программным обеспечением. Apple, например, будет нести ответственность за проблемы с iPhone и Google за проблемы с Android, поскольку они используют Safari и Chrome соответственно.
По словам Ника ДеЛены, партнера консалтинговой фирмы DGC, которая специализируется на кибербезопасности и конфиденциальности, кейлоггинг часто рассматривается как нарушение конфиденциальности, и когда обнаруживается, что приложение или служба используют его, они обычно вынуждены использовать другие средства отладки. . По словам ДеЛены, риск с программным обеспечением TikTok особенно велик, потому что китайское правительство имеет долю в материнской компании TikTok, ByteDance.
Независимо от того, использует ли TikTok возможности исключительно для отладки, это все равно может представлять угрозу безопасности для организаций. По словам Тима Макки, главного специалиста по безопасности Synopsys, если программа используется на работе, конфиденциальная корпоративная информация может быть включена в пакет данных кейлога. Хотя многие компании запрещают загрузку определенных приложений или служб на рабочие устройства, управление растущей удаленной рабочей силой может быть проблематичным. Переход углубил разрыв между работой и личной жизнью.
Вишневски подчеркнул, что люди все чаще используют личные телефоны или планшеты для выполнения задач, связанных с работой, и могут не знать о потенциальных рисках, заявив: «Достаточно минуты, чтобы понять, находитесь ли вы в данный момент в веб-браузере компании, или вы можете случайно попасть во встроенный в приложение браузер TikTok и начать заниматься делами компании, а это огромный риск утечки данных».
Мы надеемся, что вам понравилась эта статья о возможном взломе TikTok, которая поднимает вопросы об утечке данных и безопасности. Если вы это сделали, мы уверены, что вам также будет интересно прочитать некоторые из наших других статей, таких как «Выпущено исправление уязвимости Apple iPhone для ошибки нулевого дня» или «Уязвимость Zoom Mac позволяет хакерам получить удаленный доступ».
Source: Возможный взлом TikTok вызывает вопросы об утечке данных и безопасности
