Via een link in een sms-bericht kunnen accounts op TikTok worden overgenomen. Ook de advertentiepagina van het bedrijf bevat kwetsbaarheden.
De zwakke plekken werden ontdekt door securitybedrijf Check Point, dat TikTok recent op de hoogte bracht. Intussen zijn de gaten gedicht, wie de meest recente versie van de app heeft loopt dus geen risico meer.
De ene kwetsbaarheid kan worden misbruikt wanneer een hacker een sms-bericht met een speciale link verstuurt. Wanneer de TikTok-gebruiker de link opent, kan zijn of haar account worden overgenomen. Daarbij kunnen video’s worden verwijderd, toegevoegd of verborgen video’s openbaar worden gemaakt.
Een andere kwetsbaarheid zit hem in ads.tiktok.com, het advertentieplatform van de app. Die blijkt vatbaar voor XSS-aanvallen. XSS staat voor cross-site-scripting en komt er op neer dat een hacker code (in praktijk een script) kan invoeren in een tekstvak op de site. De site verwacht daar tekst die het kan opnemen in haar systeem, maar in praktijk wordt zo het script uitgevoerd. Op die manier kunnen mailadressen en geboortedatums van gebruikers worden bemachtigd.
Of de zwakke plekken effectief zijn misbruikt door hackers is niet geweten. Het Chinese TikTok, dat eerder samenging met Musical.ly, telt meer dan een miljard gebruikers en is vooral onder jongeren bijzonder populair.
“Sociale media-applicaties vormen een belangrijk doelwit aangezien ze een sterke bron van persoonlijke gegevens zijn en een goede toegangspoort voor aanvallers bieden,” zegt Oded Vanunu, hoofd Product Vulnerability Research bij Check Point. “Hackers besteden dan ook veel geld en inspanningen aan het inbreken in dit soort enorme applicaties. Toch gaan de meeste gebruikers ervan uit dat ze door de app beschermd zijn.”
TikTok zelf laat via Check Point weten dat het alles doet om gegevens van gebruikers te beschermen maar het moedigt securityonderzoekers aan om onontdekte kwetsbaarheden te melden zodat ze tijdig kunnen worden aangepakt. Op het moment dat beide bedrijven met het probleem naar buiten kwamen was het probleem al opgelost.
Fout opgemerkt of meer nieuws? Meld het hier