Original qstring:  | /dl/rainews/articoli/tiktok-scoperta-da-check-point-falla-nella-sicurezza-accesso-dati-sensibili-azienda-informata-problema-sanato-1eac5c7c-a91e-4702-9549-5b6d55a6b24f.html | rainews/live/ | true
TECH

Privacy

TikTok, 'falla' dava accesso a dati sensibili degli utenti. La piattaforma: vulnerabilità sanata

La funzione 'trova amici' consentiva di bypassare le protezioni della privacy. Il problema è stato corretto, afferma ByteDance. E' opportuno aggiornare la versione dell'app

Condividi
Scoperta una vulnerabilità nella sicurezza dell'app TikTok che permetteva di accedere a dati sensibili degli utenti, compreso il numero di telefono. la 'falla' stata individuata dai ricercatori di Check Point Software Technologies nella funzione 'Trova Amici' dell'app. Se lasciata senza aggiornamenti, spiegano, potenzialmente poteva consentire "di bypassare le protezioni sulla privacy create per difendere gli utenti dell'app, dando la possibilità di costruire un database da utilizzare per attività illecite".

Check Point spiega come l’hacker poteva sfruttare la vulnerabilità:
"L’aggessore ha creato un elenco di dispositivi con i loro ID, utilizzati poi per la query dei server di TikTok. Dopodiché ha creato una lista di token di sessione (ognuno valido per 60 giorni) che saranno utilizzati per interrogare i server di TikTok. Ha bypassato il meccanismo HTTP della firma digitale di TikTok utilizzando il proprio servizio di firma, eseguito in background. Infine, ha legato il tutto modificando le richieste HTTP, firmandole di nuovo e utilizzando vari token e ID per bypassare i sistemi di difesa di TikTok". 

I ricercatori  hanno comunicato la scoperta a ByteDance, il proprietario dell'app TikTok, che ha rilasciato un aggiornamento per garantirne la sicurezza.  

I dettagli del profilo accessibili tramite questa nuova falla comprendevano - spiegano i ricercatori - numero di telefono, nickname, immagini del profilo e dell'avatar, id utente unici e alcune impostazioni del profilo, come ad esempio quella che consente a un utente di essere un follower pubblico o anonimo.

"Questa vulnerabilità avrebbe potuto permettere ad un aggressore di costruire un database dettagliato degli utenti ed eseguire una serie di attività criminali come lo spear phishing. Il nostro consiglio agli utenti di TikTok e non solo, è di condividere i propri dati personali solo quando strettamente necessario e soprattutto aggiornare sempre il sistema operativo e le app alle ultime versioni", ha spiegato Oded Vanunu, Head of products vulnerabilities research di Check Point.

La precisazione della piattaforma
"La sicurezza e la privacy della comunità hanno la nostra massima priorità, apprezziamo il lavoro di Check Point nell'identificare potenziali problemi in modo da poterli risolvere prima che colpiscano gli utenti. Continuiamo a rafforzare le nostre difese, sia aggiornando costantemente le nostre capacità interne come l'investimento in difese di automazione, sia lavorando con terze parti", sottolinea Tiktok.   I ricercatori di Check Point sono gli stessi che, a cavallo tra il 2019 e il 2020, avevano individuato un'altra vulnerabilità presente nei video di TikTok.
Condividi
Privacy policy
Cookie policy
Società trasparente
Rai - Radiotelevisione Italiana Spa
Sede legale: Viale Mazzini, 14 - 00195 Roma | Cap. Soc. Euro 242.518.100,00 interamente versato
Ufficio del Registro delle Imprese di Roma © RAI 2025 - tutti i diritti riservati. P.Iva 06382641006