Злоумышленники могли отправлять жертвам SMS с вредоносными ссылками. При переходе пользователя по этой ссылке киберпреступник мог завладеть его учетной записью TikTok. После этого он мог удалять видео из аккаунта, загружать неавторизованные видео, делать скрытые видео общедоступными.
Также исследователи выяснили, что поддомен Tiktok ads.tiktok.com был уязвим к атакам XSS. При таком типе атаки вредоносные скрипты внедряются в другие доверенные веб-сайты. Эту уязвимость можно использовать для получения личной информации, сохраненной в учетных записях пользователей. Так можно получить, например, адреса электронной почты, даты рождения.
Компания Check Point Software Technologies проинформировала разработчиков TikTok о выявленных уязвимостях. Уже выпущено обновление, которое позволяет пользователям безопасно использовать приложение TikTok.
«Данные распространяются все больше, и их утечки становятся эпидемией. Наши последние исследования показывают, что даже популярные приложения могут находиться в опасности, — рассказывает Одед Вануну, глава Check Point Software Technologies по исследованию уязвимостей продуктов. — Злоумышленники ищут уязвимости в приложениях для социальных сетей, поскольку они являются источником личных данных. Для получения конфиденциальной информации преступники тратят большие деньги и прилагают значительные усилия. Однако большинство пользователей считают, что они защищены приложением, которое они используют».
TikTok доступен на более чем 150 рынках, используется на 75 языках по всему миру и установлен более чем у 1 миллиарда пользователей. По состоянию на октябрь 2019 года, TikTok является наиболее загружаемым приложением в Соединенных Штатах, что делает его первым китайским приложением, достигающим таких результатов.