Günümüzün en popüler sosyal medya uygulamalarından birisi olan TikTok, bugün Android kullanıcılarının hesaplarını ve diğer hassas bilgilerini tehlikeye atan bir güvenlik açığını kapattı. Güvenlik açığı kısa süre önce uygulama güvenliği girişimi olan Oversecured tarafından keşfedildi ve TikTok'a iletildi.
Güvenlik açığı düzeltildikten sonra Oversecured, güvenlik açığının tüm teknik detaylarını ve sunduğu tehlikeleri paylaştığı yazıda anlattı. Oversecured'in yazısına göre güvenlik açığı, saldırgan hackerların zararlı bir yazılım sayesinde kullanıcıların hassas dosyalarına erişmelerinin ve ele geçirmelerinin önünü açıyordu.
Kullanıcıların hesapları tehlikede olabilirdi:
Güvenlik açığı nedeniyle tehlikede olan hassas dosyalar arasında TikTok'un 'session token'leri de bulunuyordu. Session token'ler, kullanıcıların şifrelerini her uygulamaya girişlerinde yeniden yazmalarına ihtiyaç duymamalarını sağlıyordu. Yani bu dosyalar ele geçirildiğinde hackerlar kullanıcıların şifrelerine ihtiyaç duymadan onların hesaplarına giriş yapabiliyorlardı.
Güvenlik açığını kullanabilmekse hackerın kullanacağı zararlı bir yazılıma bağlıydı. Bu yazılım, güvenlik açığını kullanarak TikTok uygulamasına zararlı bir dosya enjekte edebilirdi. Hackerların kurbanı olan bir kullanıcı TikTok'u açtığı anda zararlı dosya tetikleniyor, böylece zararlı uygulama session token'lara ulaşabiliyor ve hackera iletebiliyordu.
Bununla birlikte TechCrunch'a konuşan Oversecured'in kurucusu Sergey Toshin, zararlı bir yazılımın güvenlik açığını kullanarak TikTok'un uygulama izinlerini de ele geçirebileceğini ifade etti. Bu sayede saldırganlar Android cihazların kamerasına, mikrofonuna, fotoğraflarına ve videolarına erişim sağlayabiliyordu.
TikTok sözcüsü Hilary McQuaide, yaptığı açıklamada güvenlik açığı yalnızca zararlı bir yazılım tarafından kullanılabiliyor olsa da açığı öğrendikleri gibi kapattıklarını ifade etti. Hilary, Oversecured'e teşekkür ederek tüm kullanıcıların uygulamanın en yeni versiyonuna geçiş yapmaları gerektiğini söyledi.
