Через приложение TikTok можно отправлять вредоносные ссылки
TikTok доступен более чем на 150 рынках мира, используется на 75 языках и насчитывает свыше 1 миллиарда пользователей. Приложение бьет мировые рекорды популярности и является одним из самых загружаемых.
Приложение востребовано в основном среди детей и тинэйджеров, которые размещают в нем музыкальные клипы с собственным пением под фонограмму длиной от 3 до 15 секунд и другие короткие видеозаписи от 3 до 60 секунд.
Команда исследователей из Check Point Research обратила внимание на ряд потенциальных рисков, кроющихся в TikTok, и это признали другие авторитетные компании. Согласно USA Today, ВМС США запретила своим работникам использовать приложение. По словам старшего демократа Чака Шумера в статье The Guardian, TikTok представляет потенциальную угрозу безопасности США. Более того, в New York Times написали о начавшейся проверке приложения. CNet.com сообщил, что армия США установила запрет на использование приложения на телефонах государственных служащих, изменив свою политику в отношении развлекательного приложения, которое она недавно использовала в качестве инструмента рекрутинга.
В последние несколько месяцев работники Check Point Research обнаружили множество уязвимостей в TikTok, которые позволяют киберпреступникам выполнять следующие действия:
- Захватывать аккаунты и управлять их контентом;
- Удалять видеозаписи;
- Загружать видеоролики без авторизации;
- Менять статус частных «скрытых» видеозаписей на публичные;
- Открывать персональную информацию, сохраненную в аккаунте (e-mail адреса и т.д.).
Исследователи Check Point Research сообщили разработчикам приложения о выявленных уязвимостях, после чего их устранили.
Подмена SMS-ссылки
В ходе исследования обнаружилась уязвимость, позволяющая отправлять SMS-сообщение на любой номер от имени TikTok.
На сайте приложения есть функция, с помощью которой пользователи могут отправлять сообщения самим себе со ссылкой для установки TikTok.
Изображение CheckPoint.com: Функция отправки SMS на официальном сайте приложения TikTok
Хакеры могут захватить HTTP-запрос, используя прокси-инструмент (например, Burp Suite). Параметр Mobile содержит номер телефона, на который будет отправлено SMS, а параметр download_url – это ссылка, которая появится в SMS-сообщении:
Изображение CheckPoint.com: Скриншот HTTP-запроса, который могут перехватить мошенники
Официальное сообщение от приложения:
Изображение CheckPoint.com: Скриншот официального SMS-сообщения от TikTok
Изменение параметра download_url позволяет кибермошенникам менять ссылку в сообщении на любую другую.
Скриншот ниже демонстрирует измененную ссылку «https://attacker.com», предназначенную для отправки пользователю.
Изображение CheckPoint.com: Скриншот HTTP-запроса, который изменили мошенники
SMS, содержащее мошенническую ссылку, выглядит следующим образом:
Изображение CheckPoint.com: Скриншот SMS-сообщения от TikTok с мошеннической ссылкой
Таким образом, киберпреступники могут отправить от имени популярного приложения сообщение с вредоносной ссылкой, которое примут за официальное. В результате «жертва» перейдет на мошеннический сайт, который, к примеру, незаконно собирает персональные данные в целях дальнейших преступных махинаций. И это лишь одна из обнаруженных уязвимостей.
Источник: Check Point Research