كشف الباحثون عن أربعة عيوب شديدة الخطورة في إصدار أندرويد من تيك توك كان من الممكن استغلالها بسهولة من قبل المهاجمين لاختراق حساب TikTok الخاص بالمستخدم بالكامل. وفيما تم الكشف العام عن الثغرات الأمنية يوم الجمعة 11 أيلول، تم تصحيح جميع الأخطاء سريعا في الإصدار 17.4.4 من التطبيق.

وأوضح الباحثون الأمنيون أن الكشف عن العيوب تزامن تماماً مع اختيار مالك منصة التواصل الاجتماعي لشركة Oracle كشريك تقني أمريكي يمكنه المساعدة في استمرار تشغيل التطبيق في الولايات المتحدة، في أعقاب تهديد الرئيس الأمريكي دونالد ترامب بحظر التطبيق بسبب مخاوف التجسس.

إذا تم استغلال هذه العيوب بشكل ضار، فقد تسمح بتنفيذ التعليمات البرمجية التعسفية للمهاجمين عن بُعد والوصول إلى الملفات والمعلومات الخاصة بالضحايا داخل التطبيق. يمكنهم أيضاً التحكم في أذونات التطبيق، مما يتيح للقراصنة الوصول إلى الصور الخاصة ومقاطع الفيديو المخزنة على الجهاز والرسائل وتنزيلات مستعرض الويب ووظائف تسجيل الصوت والفيديو وجهات الاتصال.

 

عيوب تيك توك على نظام أندرويد

فحص الباحثون التطبيق ووجدوا العديد من الثغرات في طريقة تحميل الملفات داخل التطبيق. تم اكتشاف جميع عيوب تنفيذ التعليمات البرمجية التعسفية في مكونات Android المختلفة في ملف AndroidManifest.xml ، وهو ملف بياني لمشاريع التطبيقات يقوم بوصف المعلومات الأساسية عن التطبيقات لأدوات إنشاء نظام التشغيل Android و Google Play.

مكونات Android المعنية هي: DetailActivity و NotificationBroadcastReceiver وواجهة Independent Process Download Service AIDL (لغة تعريف واجهة Android). تكمن مشكلة هذه المكونات في أنها تفتقر إلى بعض فحوصات الأمان، مما يسمح لتطبيق ثالث مصنوع من جهة خارجية أو أي شخص بتحميل ملفات عشوائية ضارة في داخلها.

وتتمثل نقطة الضعف الأولية في أن جميع هذه المكونات مكشوفة أو غير محمية وفقاً لنموذج إذن Android الافتراضي، مما سمح لتطبيقات الجهات الخارجية بالوصول إليهم واختراقها.

من أجل استغلال العيوب، سيحتاج المهاجم أولاً إلى إقناع الهدف بتنزيل تطبيق (مثل تطبيق الآلة الحاسبة، على سبيل المثال). وبمجرد التنزيل، يمكن للتطبيق إنشاء ملف مكتبة في دليل TikTok الخاص وتحميله تلقائياً.

وأوضح الباحثون أنه “كان من الممكن استغلال الثغرة الأمنية بواسطة تطبيق تم تشغيله مرة واحدة فقط ثم حذفه لاحقا، على سبيل المثال”، فيما أن جميع نقاط الضعف المتعلقة بتنفيذ التعليمات البرمجية التعسفية قد تؤدي إلى تعرض التطبيق ومستخدميه للاختراق التام.

من جهته، أفاد تطبيق تيك توك بأنه يعمل باستمرار مع أطراف ثالثة للعثور على الأخطاء وإصلاحها، كجزء من جهوده المستمرة في بناء نظام أساسي أكثر أماناً. ويدعو جميع المستخدمين إلى تنزيل أحدث إصدار من التطبيق.