Scoperte vulnerabilità in TikTok, l’app più utilizzata dai giovani

DiMarco Nisticò

PUBBLICATO IL 8 Gen 2020 ALLE 14:13 - AGGIORNATO IL 4 Aprile 2020 ALLE 17:57 #sicurezza

Check Point Research, la divisione Threat Intelligence di Check Point® Software Technologies, ha individuato diverse falle all’interno dell’infrastruttura di TikTok, dimostrando come anche l’app popolare tra i giovani sia vulnerabile agli hacker. I ricercatori hanno utilizzato il sistema SMS di TikTok per dimostrare come queste vulnerabilità possano essere facilmente diffuse e sfruttate.

Negli ultimi mesi, i ricercatori di Check Point hanno trovato molteplici vulnerabilità in TikTok e nel suo backend, dimostrando che una delle app in maggiore crescita al mondo non fosse impermeabile allo sfruttamento da parte degli hacker.

Alcuni giorni fa l’esercito americano ne ha vietato l’uso ai propri soldati, reputandola una cyber-minaccia. Check Point Research ha rivelato che il sistema SMS di TikTok potrebbe essere utilizzato per distribuire e innescare facilmente queste vulnerabilità, che includono: 

  1. Caricamento di video non autorizzati e cancellazione di video
  2. Cambio della privacy dei video di un utente, da privati a pubblici
  3. Estrazione di dati personali sensibili, come nome e cognome, indirizzo e-mail e data di nascita

Per scaricare TikTok, i nuovi utenti ricevono un link di download via SMS dopo aver inserito il proprio numero di cellulare sul sito. Un hacker potrebbe potenzialmente manipolare e inviare messaggi a qualunque numero di cellulare, fingendosi TikTok – inviando ed eseguendo codici maligni per mettere in atto operazioni indesiderate come la cancellazione di video, il caricamento non autorizzato di video, e il cambiamento delle impostazioni di privacy dei video da privato a pubblico.

Inoltre, i ricercatori di Check Point sono venuti a conoscenza del fatto che un hacker possa spostare forzatamente un utente TikTok su un server controllato, abilitandosi all’invio di richieste indesiderate da parte dell’utente. L’hacker potrebbe utilizzare la medesima tecnica per dirottare la propria vittima su un sito web pericoloso sotto le sembianze di Tiktok.com. Il dirottamento apre alla possibilità di compiere attacchi di Cross-Site Request Forgery (CSRF), Cross-Site Scripting (XSS), and Sensitive Data Exposure, senza il consenso dell’utente.

Check Point Research ha informato ByteDance, lo sviluppatore di TikTok, di queste vulnerabilità a fine novembre 2019 e una soluzione è stata implementata in meno di un mese per garantire che gli utenti TikTok potessero continuare ad utilizzare l’app in modo sicuro.

Vulnerabilità di TikTok: dettagli tecnici

Entriamo ora un po’ più nel dettaglio delle varie falle di sicurezza che sono state scoperte e di come gli hacker sono riusciti a sfruttarle per i propri attacchi.

La prima cosa che hanno notato i ricercatori di Check Point è che sul sito ufficiale di TikTok è presente un campo di testo che permette di autoinviarsi un SMS con il link per il download dell’applicazione.

tiktok automessaggio

E’ proprio tramite questa opzione che un hacker può inviare un SMS ad una vittima con del codice malevolo. Come? Semplice, intercettando la richiesta HTTP che invia il messaggio, usando strumenti come Burp Suite. Infatti, se si va ad analizzare a fondo tale richiesta, si noteranno i campi Mobile, il cui valore corrisponde al numero di telefono inserito, e download_url, ovvero il link per il download di TikTok. Va da se che un hacker può liberamente modificare il campo download_url per far sì che alla vittima arrivi un messaggio che sembra arrivare da TikTok in via ufficiale ma in realtà è stato modificato.

Analizzando a fondo l’applicazione, i ricercatori hanno inoltre scoperto un’ulteriore falla che permette agli hacker di inviare link alle vittime come se fossero altri utenti di TikTok. Infatti, sempre tramite l’SMS spoofing è possibile inviare un link con lo schema “https://m.tiktok.com” o “musically://”. In questo modo è possibile collegare una qualsiasi pagina facendola passare per link ufficiale di TikTok. Check Point ha eseguito un test usando il link http://10.10.10.113:8000, che apre una pagina web controllata da un hacker.

Sono state poi trovate altre vulnerabilità che prevedono la stessa dinamica anche sulla pagina di login e quella dedicata agli ads, sfruttando il Cross-site Scripting per eseguire il redirect di un link ufficiale di TikTok ad un altro fornito da un hacker.

Concludiamo poi con un’altra vulnerabilità, forse una tra le più gravi poiché permette ad un malintenzionato di eliminare e creare video per conto di un utente senza il suo consenso. La procedura sfrutta la richiesta fatta al link https://api-t.tiktok.com/aweme/v1/aweme/delete/?aweme_id=video_id, dove al posto di video_id andrà inserito l’id corrispondente al filmato dell’utente. Usando un semplice codice Javascript si potrà inviare una qualsiasi richiesta di rimozione video a TikTok, che restituirà un messaggio di avvenuta cancellazione, come se fosse stato l’utente stesso a richiederla. Questa procedura può essere applicata a diversi campi, come la creazione di video, l’aggiunta di follower o il cambio da video privato a pubblico.

Di Marco Nisticò

Sviluppatore informatico, cerco sempre di stare al passo con i tempi in un mondo ormai circondato dalla tecnologia.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.