ثغرة في "تيك توك" تفضح نشاطك لأي شخص
كشف باحثو شركة الأمن السيبراني "إمبيرفا" عن ثغرة في تطبيق المقاطع القصيرة "تيك توك" قد تسمح لذوي النيات السيئة بسرقة البيانات الحسّاسة من أجهزة الضحايا لاستخدامها في هجمات سرقة الهوية أو التصيد الاحتيالي أو الابتزاز.
وعُثر على الثغرة الأمنية التي أُصلِحت في الطريقة التي يتعامل بها التطبيق مع الرسائل الواردة، بحسب ما نقله موقع "تيك رادار" أمس السبت.
وشرح الباحثون الطريقة بأن المهاجمين يمكن أن يرسلوا رسالة ضارة إلى تطبيق "تيك توك" في الويب من خلال PostMessage API التي من شأنها أن تتخطى أي إجراءات أمنية.
من خلال استغلال هذه الثغرة الأمنية، يمكن للمهاجمين الوصول إلى كنز من البيانات القيمة، مثل بيانات جهاز المستخدم (نوع الجهاز، ونظام التشغيل، والمتصفح المستخدم، وما إلى ذلك)، ومقاطع الفيديو التي شاهدها الضحية، والوقت الذي يقضيه في كل مقطع فيديو، وبيانات حساب المستخدم (أسماء المستخدمين، مقاطع الفيديو، تفاصيل الحساب الأخرى)، وما بحث عنه المستخدم على المنصة.
وحتى من دون ثغرات، "تيك توك" هو تطبيق مثير للجدل بسبب كونه ملكاً لشركة بايتدانس الصينية ولديه أكثر من 1.5 مليار مستخدم، ما يزيد المخاوف من وصول هذه البيانات الضخمة إلى بكين.
في الآونة الأخيرة، بدأت حكومة الولايات المتحدة خطوات للتدقيق في نشاط الشركات الصينية وحظرها، مدعيةً أن حكومتها تسيطر عليها بشدة ويمكن أن تجبرها على السماح بالوصول غير المصرح به إلى بيانات مستخدميها.
ومُنعت شركة هواوي من تطوير البنية التحتية لـ5G في الولايات المتحدة بسبب المخاوف نفسها، وأجبرت الحكومة الأميركية "تيك توك" أولاً على تخزين جميع البيانات في البلاد، ثم أخبرت موظفيها أخيراً بإزالة التطبيق من الأجهزة الحكومية، بمبرر مخاوف الأمن القومي.
في المقابل، تنفي مالكة "تيك توك"، مثلها مثل شركات صينية أخرى، هذه التهم وأي تورط في مخالفات تتعلق بالخصوصية.
