عالج تطبيق تيك توك الشهير ثغرتين من نقاط الضعف التي كان من الممكن أن تسمح للمهاجمين بالاستيلاء على الحسابات بنقرة واحدة، عند المستخدمين الذين سجلوا دخولهم عبر تطبيقات الطرف الثالث.

منصة التواصل الاجتماعي TikTok، المملوكة من شركة ByteDance ومقرها بكين، تُستخدم لمشاركة مقاطع فيديو قصيرة متكررة على الهاتف المحمول تتراوح مدتها من 3 إلى 60 ثانية.

ويحتوي تطبيق نظام أندرويد Android الخاص بـ TikTok حالياً على أكثر من مليار عملية تثبيت وفقاً لإحصائيات متجر Google Play الرسمية. فيما قد تجاوز 2 مليار عملية تثبيت على جميع منصات الأجهزة المحمولة في أبريل 2020 استنادًا إلى تقديرات Sensor Tower Store Intelligence.

 

استخراج البيانات في تيك توك

اكتشف صائد المكافآت الألماني محمد تاسكيران خللاً أمنياً في البرمجة النصية المنعكسة عبر المواقع (XSS) في عنوان URL الخاص بتطبيق تيك توك TikTok والذي يبدو أنه لم يحصل على درجة الأمان المطلوبة.

إذ وجد تاسكيران برمجة XSS التي قد تؤدي إلى استخراج البيانات أثناء اختبار نطاقات الشركة www.tiktok.com و m.tiktok.com. كما وجد أيضاً نقطة نهاية API عرضة لهجمات التزوير عبر المواقع (CSRF) التي تتيح تغيير كلمات مرور حساب المستخدمين على تيك توك الذين قاموا بتسجيل الدخول عبر استخدام تطبيقات الطرف الثالث.

واستطاع تاسكيران جمع الثغرات الأمنية من خلال صياغة حمولة جافا سكريبت بسيطة – تشغيل CSRF – وثم إدخالها في البرمجة النصية المنعكسة لعنوان URL الخاص بالموقع، مما أتاح للمهاجم قدرة الاستيلاء على الحساب بنقرة واحدة.

بعدها قام Taskiran بالإبلاغ عن سلسلة هجوم الاستيلاء على حسابات تيك توك في 26 أغسطس 2020، لتقوم الشركة بدورها بحل المشكلات ومنح صائد الأخطاء مكافأة قدرها 3860 دولار أميركي في 18 سبتمبر 2020.

 

إصلاح المزيد من العيوب

وكان قد عالج تطبيق TikTok سابقاً مجموعة من الثغرات الأمنية في بنيته التحتية، والتي كانت تسمح للمهاجمين المحتملين باختطاف الحسابات للتلاعب بمقاطع فيديو المستخدمين وسرقة معلوماتهم.

كان بإمكان المهاجمين استخدام نظام الرسائل القصيرة لاستغلال نقاط الضعف لتحميل مقاطع الفيديو غير المصرح بها، أو حذف مقاطع فيديو أخرى، أو نقل مقاطع الفيديو الخاصة بالمستخدمين من الخاص إلى العام، أو سرقة البيانات الشخصية الحساسة.

تم الكشف عن المشكلات الأمنية لـ ByteDance بواسطة باحثي Check Point في أواخر نوفمبر 2019، حيث قامت الشركة بإصلاح الأخطاء في غضون شهر واحد.