Check Point Research löysi haavoittuvuuden maailman suosituimpiin sovelluksiin lukeutuvasta TikTok-sovelluksesta. Käyttäjien profiilitiedot ja puhelinnumerot olivat vaarassa paljastua.

Tietoturvayhtiö Check Point Software Technologiesin tutkimustoiminnasta vastaava Check Point Research löysi yksityisyydensuojan vaarantavan haavoittuvuuden TikTok -sovelluksen “Find Friends” -ominaisuudesta. Tietoturva-aukko olisi sallinut hyökkääjälle pääsyn TikTokin käyttäjien profiilitietoihin ja tileihin liitettyihin puhelinnumeroihin.

Check Point Researchin tutkijat havaitsivat, että haavoittuvuuden kautta hyökkääjien olisi ollut mahdollista päästä käsiksi muun muassa seuraaviin TikTok-profiilin tietoihin: puhelinnumero, lempinimi, profiili- ja avatar-kuvat, yksilölliset käyttäjätunnukset ja tietyt profiiliasetukset. Pahantekijät olisivat voineet kerätä käyttäjistä tietokannan ja hyödyntää sitä vilpillisessä toiminnassa.

Check Point Research löysi nyt jo toisen kerran TikTokista tietoturva-aukkoja. Viimeksi se löysi tammikuussa 2020 TikTokista useita haavoittuvuuksia, jotka olisivat sallineet pääsyn käyttäjätileille. Tuolloin hyökkääjät olisivat voineet muokata käyttäjätilien sisältöä ja poimia niille tallennettuja luottamuksellisia, henkilökohtaisia tietoja.

TikTok-sovellusta käyttävät pääasiassa teini-ikäiset ja lapset, jotka jakavat ja säilyttävät sovelluksessa yksityisiä ja joskus arkaluontoisiakin videoita itsestään ja läheisistään. Yli miljardilla käyttäjällään TikTok on yksi maailman ladatuimmista sovelluksista.

Check Pointin Head of Product Vulnerability Research Oded Vanunu kommentoi aihetta todeten:

”Halusimme tutkia TikTokin yksityisyyttä ja sitä, voisiko TikTok-alustaa käyttää yksityisten käyttäjätietojen saamiseen. Vastaus oli kyllä, sillä pystyimme ohittamaan useita TikTokin suojausmekanismeja, mikä mahdollistaa yksityisyyden loukkaamiseen. Haavoittuvuus olisi voinut antaa hyökkääjän rakentaa tietokannan käyttäjätiedoista ja puhelinnumeroista. Hyökkääjä, jolla on tämänkaltaista arkaluontoista dataa, voi käyttää sitä erilaisiin rikollisiin toimiin, kuten tarkoin kohdennettuihin keihäskalastushyökkäyksiin.”

”Kehotamme TikTokin käyttäjiä jakamaan mahdollisimman vähän henkilökohtaisia tietojaan sekä päivittämään käyttöjärjestelmänsä ja sovelluksensa uusimpiin versioihin,” jatkaa Check Pointin Suomen maajohtaja Sampo Vehkaoja.

Check Point Research ilmoitti haavoittuvuuksista TikTokin kehittäjälle ByteDancelle. Ongelmat korjattiin, ja TikTokin käyttöä voi nyt jatkaa turvallisesti. TikTok kommentoi aihetta todeten:

”TikTok-yhteisön tietoturva ja yksityisyys ovat tärkeimmät prioriteettimme, ja arvostamme Check Pointin kaltaisten luotettavien kumppaneiden työtä mahdollisten ongelmien tunnistamisessa, jotta voimme ratkaista ne ennen kuin ne vaikuttavat käyttäjiin. Vahvistamme omia puolustuksiamme edelleen sekä sisäisesti esimerkiksi investoimalla automaattiseen puolustukseen että yhteistyössä kolmansien osapuolten kanssa.