Kwetsbaarheid in TikTok stelde privégegevens van gebruikers bloot

| Check Point | 2 min | 27 januari 2021 12:13
Copyright: Solen Feyissa op Unsplash
Check Point Research (CPR) heeft voor de tweede keer een kwetsbaarheid ontdekt in TikTok, dit keer in de functie "Vrienden zoeken". Door de kwetsbaarheid werd de privacybescherming omzeild en konden potentiële aanvallers mogelijk toegang krijgen tot de profielgegevens en dus ook telefoonnummers van gebruikers. Hierdoor zou het mogelijk zijn geweest om een database aan informatie op te bouwen en deze te gebruiken voor kwaadaardige activiteiten. Inmiddels is de kwetsbaarheid gepatcht en heeft CPR de onderzoeksbevindingen aan TikTok bekend gemaakt. Het probleem is inmiddels verholpen.

Onbeschermde profielgegevens

Onderzoekers van CPR hebben een beveiligingslek ontdekt in de functie "Vrienden zoeken" van TikTok. Profielgegevens die via de kwetsbaarheid toegankelijk waren, omvatten telefoonnummer, bijnaam, profiel- en avatarafbeeldingen, unieke gebruikers-ID's en bepaalde profielinstellingen. Die laatste tonen of een gebruiker een volger van het account is en of het profiel van een gebruiker verborgen is.

CPR heeft inmiddels zijn bevindingen op verantwoorde wijze bekendgemaakt aan ByteDance, de maker van TikTok. Er werd door ByteDance een oplossing geïmplementeerd om ervoor te zorgen dat TikTok-gebruikers de applicatie veilig kunnen blijven gebruiken.

Eerder TikTok-onderzoek door CPR

CPR heeft nu twee keer beveiligingslekken in TikTok gevonden. Op 8 januari 2020 publiceerde CPR ook al een paper over een reeks kwetsbaarheden in de populaire app. Die kwetsbaarheden stelden een bedreiger in staat tot het verkrijgen van persoonlijke informatie die was opgeslagen in de accounts van gebruikers, het manipuleren van accountgegevens of het ondernemen van acties namens een gebruiker zonder diens toestemming.

Oded Vanunu, hoofd van Products Vulnerabilities Research bij Check Point: "Onze primaire motivatie was dit keer om de privacy van TikTok te onderzoeken. We waren benieuwd of het TikTok-platform kon worden gebruikt om privégegevens van gebruikers te bemachtigen. Het antwoord bleek ja te zijn, want we waren in staat om meerdere beschermingsmechanismen van TikTok te omzeilen die leiden tot privacyschending en het beschikbaar stellen van privénummers. Een aanvaller die dit soort gevoelige informatie in handen krijgt, zou een scala aan kwaadaardige activiteiten kunnen uitvoeren, zoals spear phishing. Onze boodschap aan TikTok-gebruikers is dan ook om het absolute minimum aan persoonlijke informatie te delen en de app altijd te updaten naar de laatste versie.

TikTok's verklaring

"De beveiliging en privacy van de TikTok-gemeenschap zijn onze hoogste prioriteit. We waarderen dan ook de hulp van vertrouwde partners zoals Check Point bij het identificeren van potentiële problemen, zodat we ze kunnen oplossen voordat ze gebruikers treffen. We blijven onze verdedigingsmechanismen versterken door voortdurend onze interne systemen te upgraden, zoals het investeren in geautomatiseerde beveiliging en door samen te werken met derde partijen." - TikTok woordvoerder Mation Defenses, en werkend met derde partijen." – aldus TikTok.

Hoe vind je dit artikel?


Geef jij de eerste rating?

Content op basis van interesse of taal liever niet meer zien? Ga dan naar settings om eenvoudig je voorkeuren in te stellen.

Deel dit item
Over Check Point
Check Point Software Technologies (NASDAQ: CHKP) biedt cybersecurity-oplossingen voor overheden en enterprises wereldwijd. Het beschermt klanten tegen cyberaanvallen met een ongeëvenaarde vangstratio van malware, ransomware en andere soorten aanvallen. Check Point biedt een multi-level security-architectuur die de netwerken tot en met de mobiele toestellen van bedrijven beschermt.
Meer over Check Point
Disclaimer
Deze content is verkregen via óf is gebaseerd op een externe bron en valt daarmee buiten de verantwoordelijkheid van de redactie. Als de content een (gedeeltelijke) vertaling is van het origineel, dan is bij eventuele verschillen in betekenis de originele content leidend.
20191030103431.png
Conference by app developers, for app developers!
20191030101402.jpg
De grootste Nederlandse site over Android
20191029200614.jpg
Drive value with data
20191030100036.png
Voor professionals met passie voor digitale revolutie!
20200608191257.png
Dé leukste website op het gebied van zorg in Nederland
20200707165104.png
Meer meisjes en vrouwen in bèta, techniek en IT
© 2019-2022, alle rechten voorbehouden.
TechVisor
Het vizier op de tech industrie.