کارشناسان امنیت سایبری بر این باورند که یک عامل تهدید ممکن است دادههای حساس را از دستگاههای آسیبپذیر با استفاده از تیکتاک سرقت کند.
به گزارش افتانا به نقل از تکرادار، محققان
امنیت سایبری از Imperva نقصی را در اپلیکیشن محبوب رسانه اجتماعی تیکتاک کشف کردهاند که میتوانست به عوامل تهدید اجازه دهد دادههای حساس را از دستگاههای قربانی استخراج کنند تا در حملات سرقت هویت، فیشینگ یا باجگیری مورد استفاده قرار گیرند.
این آسیبپذیری که از آن زمان برطرف شده است، در نحوه مدیریت پیامهای دریافتی توسط اپلیکیشن پیدا شده است. در توضیح این روش، محققان گفتند که مهاجمان میتوانند از طریق API PostMessage یک پیام مخرب به برنامه وب تیکتاک ارسال کنند که از هر گونه اقدامات امنیتی عبور میکند.
سپس مدیریت رویداد پیام، پیام را پردازش میکند و آن را ایمن میداند و به مهاجم اجازه دسترسی به اطلاعات ارزشمند را میدهد.
با سوءاستفاده از این
آسیبپذیری، مهاجمان میتوانند به گنجینهای از دادههای ارزشمند، مانند دادههای دستگاه کاربر (نوع دستگاه، سیستم عامل، مرورگر استفادهشده و غیره)، ویدیوهای مشاهده شده (ویدیوهایی که قربانی مشاهده کرده)، دادههای حساب کاربری (نامهای کاربری، ویدیوها، سایر جزئیات حساب)، عبارتهای جستجو شده (آنچه کاربر در پلتفرم جستجو کرده است) دسترسی پیدا کنند.
حتی بدون آسیبپذیریها،
تیکتاک یک برنامه بحثبرانگیز است. این برنامه توسط یک شرکت چینی به نام ByteDance ساخته شده است و بیش از 1.5 میلیارد کاربر دارد که بیش از 150 میلیون نفر فقط در ایالات متحده هستند.
اخیراً، دولت ایالات متحده شروع به بررسی دقیق و ممنوعیت شرکتهای چینی کرده است و ادعا میکند که دولت آنها کنترل محکمی بر آنها دارد و میتواند آنها را مجبور کند که اجازه دسترسی غیرمجاز به در پشتی را در هر نقطهای بدهند.
به همین دلیل، هوآوی از توسعه زیرساخت 5G در ایالات متحده منع شد. در مورد تیکتاک، دولت آمریکا ابتدا این شرکت را مجبور کرد که تمام دادهها را در کشور ذخیره کند و سپس اخیراً به کارمندانش دستور داده است که برنامه را از دستگاههای دولتی حذف کنند و به مسائل امنیت ملی اشاره کرد.
تیکتاک، مانند بسیاری دیگر از شرکت های چینی هرگونه دخالت در هر گونه تخلف را رد میکند.
منبع:
Techradar