كشف باحثو شركة الأمن السيبراني "إمبيرفا" عن ثغرة في تطبيق المقاطع القصيرة "تيك توك" قد تسمح لذوي النيات السيئة بسرقة البيانات الحسّاسة من أجهزة الضحايا لاستخدامها في هجمات سرقة الهوية أو التصيد الاحتيالي أو الابتزاز.
وعُثر على الثغرة الأمنية التي أُصلِحت على الطريقة التي يتعامل بها التطبيق مع الرسائل الواردة، بحسب ما نقله موقع "تيك رادار" أمس السبت.
وشرح الباحثون الطريقة بأن المهاجمين يمكن أن يرسلوا رسالة ضارة إلى تطبيق "تيك توك" في الويب من خلال PostMessage API، والتي من شأنها أن تتخطى أي إجراءات أمنية.
من خلال استغلال هذه الثغرة الأمنية، يمكن للمهاجمين الوصول إلى كنز من البيانات القيمة، مثل بيانات جهاز المستخدم (نوع الجهاز، ونظام التشغيل، والمتصفح المستخدم، وما إلى ذلك)، ومقاطع الفيديوالتي شاهدها الضحية، والوقت الذي يقضيه في كل مقطع فيديو، وبيانات حساب المستخدم (أسماء المستخدمين، مقاطع الفيديو، تفاصيل الحساب الأخرى)، وما بحث عنه المستخدم على المنصة.
وحتى من دون ثغرات، "تيك توك" هو تطبيق مثير للجدل بسبب كونه ملكاً لشركة صينية تدعى "بايت دنس" ولديه أكثر من 1.5 مليار مستخدم، ما يزيد المخاوف من وصول هذه البيانات الضخمة إلى السلطات الصينية.
في الآونة الأخيرة، بدأت حكومة الولايات المتحدة خطوات لفحص الشركات الصينية وحظرها، مدعيةً أن حكومتها تسيطر عليها بشدة ويمكن أن تجبرها على السماح بالوصول غير المصرح به إلى بيانات مستخدميها.
ومُنعت شركة "هواوي" من تطوير البنية التحتية لـ5G في الولايات المتحدة بسبب المخاوف ذاتها، وأجبرت الحكومة الأميركية "تيك توك" أولاً على تخزين جميع البيانات في البلاد، ثم أخبرت موظفيها أخيراً بإزالة التطبيق من الأجهزة الحكومية، بمبرر مخاوف الأمن القومي.
في المقابل، تنفي مالكة "تيك توك"، مثلها مثل شركات صينية أخرى، هذه التهم وأي تورط في مخالفات تتعلق بالخصوصية.
Comments
Post a Comment