כמעט בלתי אפשרי היה לא לשמוע על אפליקציית טיק טוק בשבועות האחרונים ובפרט על החששות הרבים שעצם השימוש בה מעלה אצל רבים ברחבי העולם. חוקרי הגנת הסייבר של חברת צ'ק פוינט, אלון בוקסינר, ערן וקנין, אלכסיי וולודין, דיקלה ברדה ורומן זאיקין, חשפו חולשות משמעותיות באפליקציה הפופולרית, כך נמסר היום (רביעי) מהחברה. החולשות שנמצאו מאפשרות לתוקפים לבצע פעולות בחשבונות של משתמשים כגון הוספה ומחיקה של סרטונים, שינוי הגדרת הפרטיות של הסרטונים - מפרטי לפומבי - ואף גניבה של פרטים אישיים אשר הוזנו ע"י המשתמשים בעת ההרשמה לאפליקציה.  

החוקרים איתרו חולשות אבטחה חמורות באפליקציה, המאפשרת לתוקף לשלוח הודעה עם לינק זדוני מתוך מערכת משלוח ההודעות של האפליקציה. הקלקה על הלינק איפשרה לתוקף להגיע לחשבון של הקורבן ולבצע מניפולציות בתוכן הקיים בחשבון הקורבן, ובכלל זאת מחיקת סרטונים, העלאת סרטונים לא מאושרים על ידי הקורבן והפיכת סרטונים פרטיים לפומביים. כמו כן, החוקרים גילו שאתר משנה של האפליקציה https://ads.tiktok.com היה חשוף למתקפות שאפשרו לתוקפים לדלות פרטים אישיים אותם הקלידו משתמשי האפליקציה בעת ההרשמה , ובכלל זאת שמות מלאים,  כתובות מגורים, אי מיילים ותאריכי ימי הולדת. 

כאמור, טיק טוק, אשר נמצאת בבעלות החברה הסינית בייטדאנס, נחשבת כיום לאחת האפליקציות הפופולריות ביותר ויש לה למעלה ממיליארד משתמשים ב-150 מדינות. היא אף עקפה את אינסטגרם וסנאפצ'ט במדדים רבים ובנובמבר האחרון הפכה לאפליקציה שלה הכי הרבה הורדות בחנויות האפליקציות השונות. היא מאפשרת פרסום סרטונים קצרים ולערוך אותם - בין היתר להוסיף אפקטים ומוזיקת רקע. מתוקף האפשרויות הללו, היא מאחסנת כמויות עצומות של סרטונים, בהם קטעי וידאו רגישים של אותם המשתמשים. 

צ'ק פוינט הודיעה לטיק טוק על ממצאיה והחברה תיקנה את החולשות האמורות. ד"ר לוק דשוטלס מצוות אבטחת המידע של טיק טוק מסר: "טיק טוק מחוייבת להגנה על המידע שיש בה. בדומה לארגונים רבים אחרים, אנו מעודדים חוקרי אבטחת מידע להעביר לידינו את ממצאיהם ביחס לחולשות חדשות. צ'ק פוינט הכירה בכך שכל החולשות שנמצאו על ידיה תוקנו בגרסא האחרונה של האפליקציה ואנו מקווים שפתרון מוצלח זה יעודד עוד שיתופי פעולה עם חוקרי אבטחת מידע נוספים".

"פושעי סייבר משתמשים כיום בפלטפורמות פופולריות כמו וואטסאפ ופורטנייט כדי להפיץ את הפעולות שלהם וזה מה שקרה גם פה", הסביר עודד ואנונו, ראש מחלקת חולשות מוצרים בצ'ק פוינט שעמד בראש המחקר. הוא התייחס לגילוי המשמעותי בו היה מעורב: "מצאנו מספר חולשות בטיק טוק  - המטרה של האפליקציה היא לאפשר צילום ושיתוף של סרטונים עם קבוצות ספציפיות, וקבוצות עוינות למעשה יכלו לעשות שימוש בתשתית של החברה כדי להשיג מידע אישי של המשתמשים". ואנונו הדגיש כי "תוקפים יכלו לעשות שימוש בליבה של התשתיות של טיק טוק לשלוח כדי לשלוח סמסים למשתמשים, וברגע שהם לוחצים על הלינק הם בעצם מאבדים את השליטה על החשבון שלהם, והיא עוברת לידי ההאקר". לדבריו, כך התוקפים יכולים לעקוף את תוכנות ומנגנוני האבטחה השונים, שכן ההודעה מגיעה מטיק טוק ולא מאפקליציה אחרת.

"אחרי ההשתלטות על החשבונות, ניתן בעצם להפוך תוכן שהמשתמש הגדיר כפרטי - לציבורי וגם להפיץ ככה תכנים שהתוקף רוצה, בהם פייק ניוז", הוסיף, "אני לא מתעסק בסוגיות כמו המקור של האפליקציה (כזכור, עצם העובדה שאפליקציה סינית עורר חשש רב בעולם) אלא רוצה לגרום לחברות הגדולות, שאין להם ידע בתחום תקיפות הסייבר כמו שיש לנו, להיות מוגנות ולהבין מה שקורה בעולם".

ידוע לכם אם משתמשים נפגעו?
אין לנו יכולת להבין אם נעשה שימוש בפרצות המדוברות, שכן כל המידע נמצא ב-tik tok. אחנונ מכבדים את המדיניות שלהם והם טוענים שלא נעשה שימוש בפרצות אבטחה הללו. זו תקיפה שקשה לזיהוי ואנחנו הולכים לפי מה שהם אומרים. 

המשתמש הפשוט ידע לזהות אם ההודעה שקיבל נכתבה על ידי האפליקציה או שהגיעה מתוקף?
לא.

"חשוב לוודא שהאפליקציות בהם אתם משתמשים, בעיקר האפקליציות הגדולות והפופולריות מאוד, יהיו מעודכנות - ומומלץ לכוון הורדה אוטומטית של העדכונים", סיכם ואנונו, "כדאי גם לחשוב פמיים לפני שמשתפים מידע אישי ברשתות החברתיות - כי במקרה של חולשות שונות, יכול להיות שהוא לא יהיה רק אישי שלך".

יש לציין שהחברה התמודדה עם החולשה שאותרה ותיקנה את הבעיה.