Aplikácia TikTok je už celosvetovo známa služba, ku ktorej sa ale viaže niekoľko sporných faktov, podporujúcich jej nedôveryhodnosť. Tentokrát sa ale vývojári nakopli a po odhalení bezpečnostných rizík ich včas aj odstránili.
TikTok a jeho prístupný “session token”
V tomto prípade bol kameňom úrazu takzvaný “session token”, na ktorý upozornila bezpečnostná spoločnosť Oversecured. Konkrétne ide o malý súbor, ktorý umožňuje používateľovi, aby ostal v aplikácii prihlásený na stálo. To znamená, že prihlasovacie údaje stačí zadať iba pri prvom spustení. Prístup k týmto súborom by mohol útočníkovi poskytnúť plnú kontrolu nad účtom používateľa.
Ak by bolo toto bezpečnostné riziko aktuálne, škodlivá aplikácia by v prvom rade musela do aplikácie TikTok vložiť škodlivý kód. Následne po prihlásení by bol “session token” odoslaný na server útočníka.
Podľa informácií na portáli techcrunch.com, by mohol mať útočník vďaka tejto chybe prístup aj k systému, fotoaparátu, mikrofónu a súkromným súborom používateľa, medzi ktoré patria napríklad dokumenty, fotografie a videá.
Hovorkyňa spoločnosti TikTok, Hilary McQuaide, sa k tejto veci vyjadrila takto:
„V rámci nášho neustáleho úsilia o vybudovanie najbezpečnejšej platformy neustále pracujeme s tretími stranami na hľadaní a opravách chýb. Aj keď by príslušné chyby predstavovali riziko iba v prípade, že by si používateľ do svojho zariadenia so systémom Android stiahol škodlivú aplikáciu, opravili sme ich a oceňujeme, že nám spoločnosť tento problém hlásila. Zároveň vyzývame všetkých našich používateľov, aby si stiahli najnovšiu verziu aplikácie.“
Spoločnosť Oversecured objavila tieto chyby už začiatkom tohto roka a hneď na to boli aj opravené. Informácie o tomto bezpečnostnom riziku vyplávali na povrch až teraz, teda pár dní pred začiatkom platnosti zákazu aplikácie TikTok v Spojených štátoch amerických.
