الرئيسية / أخبار تقنية / الباحثون يوضحون كيفية اختراق أي حساب تيك توك عن طريق إرسال الرسائل القصيرة

الباحثون يوضحون كيفية اختراق أي حساب تيك توك عن طريق إرسال الرسائل القصيرة

يخضع تيك توك وهو ثالث أكثر تطبيقات تم تنزيلها في عام 2019 لتدقيق شديد على خصوصية المستخدمين وفرض رقابة على المحتوى المثير للجدل من الناحية السياسية وعلى أسس تتعلق بالأمن القومي لكنه لم ينته بعد حيث إن أمن مليارات مستخدمي تيك توك أصبح الآن قيد السؤال.‬

احتوى التطبيق الصيني الشهير لمشاركة مقاطع الفيديو الفيروسية على ثغرات أمنية يحتمل أن تكون قد سمحت للمهاجمين عن بعد باختطاف أي حساب مستخدم بمجرد معرفة رقم الهاتف المحمول للضحايا المستهدفين.‬
‫وفي تقرير مشترك بشكل خاص مع The Hacker News كشف باحثو الأمن السيبراني في Check Point أن تسلسل نقاط الضعف المتعددة سمح لهم بتنفيذ التعليمات البرمجية الضارة عن بُعد وتنفيذ إجراءات غير مرغوب فيها نيابة عن الضحايا دون موافقتهم.‬

‫تتضمن نقاط الضعف المبلغ عنها مشكلات منخفضة الخطورة مثل خداع ارتباط الرسائل النصية القصيرة وإعادة التوجيه المفتوح والبرمجة النصية عبر المواقع (XSS) والتي قد تتيح للمهاجم عن بعد القيام بهجمات عالية التأثير بما في ذلك:


• ‫حذف أي مقاطع فيديو من ملف تيك توك الشخصي للضحايا‬
• ‫تحميل مقاطع فيديو غير مصرح بها لملف تيك توك الشخصي‬
• ‫جعل مقاطع الفيديو الخاصة “المخفية” عامة‬
• ‫كشف المعلومات الشخصية المحفوظة على الحساب مثل العناوين الخاصة ورسائل البريد الإلكتروني.‬

‫يستفيد الهجوم من نظام رسائل نصية غير آمن تقدمه تيك توك على موقعها على الويب للسماح للمستخدمين بإرسال رسالة إلى رقم هاتفهم مع رابط لتنزيل تطبيق مشاركة الفيديو.‬

ووفقًا للباحثين يمكن للمهاجم إرسال رسالة نصية قصيرة إلى أي رقم هاتف نيابة عن تيك توك بعنوان URL معدّل للتنزيل إلى صفحة ضارة مصممة لتنفيذ التعليمات البرمجية على جهاز مستهدف مع تطبيق تيك توك المثبت بالفعل.‬

و‫عند دمجها مع إعادة التوجيه المفتوحة ومشكلات البرمجة النصية عبر المواقع يمكن للهجوم أن يسمح للمتسللين بتنفيذ تعليمات ‫جافا سكريبت‬ البرمجية نيابة عن الضحايا بمجرد أن ينقروا على الرابط الذي أرسله خادم تيك توك عبر الرسائل القصيرة كما هو موضح في Checkpoint Video المشتركة مع أخبار الهاكر.‬

‫تعرف هذه التقنية عادةً باسم هجوم التزوير عبر المواقع حيث يقوم المهاجمون بخداع المستخدمين المصادق عليهم لتنفيذ إجراء غير مرغوب فيه.‬

وقال الباحثون في منشور نشر بالمدونة “مع عدم وجود آلية لتزوير الطلبات عبر المواقع أدركنا أنه يمكننا تنفيذ تعليمات ‫جافا سكريبت‬ البرمجية وتنفيذ إجراءات نيابة عن الضحية دون موافقته وستؤدي إعادة توجيه المستخدم إلى موقع ضار إلى تنفيذ تعليمات ‫جافا سكريبت‬ البرمجية وتقديم طلبات إلى تيك توك مع ملفات تعريف ارتباط الضحايا.”‬

وأبلغت Check Point بمسؤولية عن هذه الثغرات الأمنية لدى ByteDance مطور التطبيق في أواخر نوفمبر 2019 الذي أصدر بعد ذلك إصدارًا مصححًا من تطبيقه المحمول في غضون شهر واحد لحماية مستخدميه من المتسللين.‬

وإذا كنت لا تشغل أحدث إصدار من تيك توك المتاح في متاجر التطبيقات الرسمية لنظامي التشغيل أندرويد و iOS يُنصح بتحديثه في أقرب وقت ممكن.‬

عن فدوى

شاهد أيضاً

جوجل تزيل مئات التطبيقات من متجرها بسبب الإعلانات المضللة

‫أعلنت الشركة العملاقة جوجل اليوم أنها أزالت ما يقرب من 600 تطبيق من متجرها Google …

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *