قالت خدمة مشاركة الفيديو القصير (تيك توك) TikTok: إنها أصلحت أربع ثغرات أمنية في تطبيقها الخاص بنظام أندرويد، والتي كان من الممكن أن تؤدي إلى اختطاف حسابات المستخدمين.
وتكمن خطورة الثغرات الأمنية – التي اكتشفتها شركة (أوفرسيكورد) Oversecured لأمن التطبيقات – في السماح لتطبيق ضار على الجهاز نفسه بسرقة الملفات الحساسة، مثل: رموز الجلسة، من داخل تطبيق تيك توك.
يُذكر أن الرموز المميزة للجلسة هي ملفات صغيرة تحافظ على تسجيل دخول المستخدم دون الحاجة إلى إعادة إدخال كلمات المرور الخاصة به. ولكن في حالة سرقة هذه الرموز، يمكن أن تمنح المهاجم حق الوصول إلى حساب المستخدم دون الحاجة إلى كلمة المرور الخاصة به.
وسيكون على التطبيق الضار استغلال نقاط الضعف لحقن ملف ضار في تطبيق تيك توك الضعيف. وبمجرد أن يفتح المستخدم التطبيق، فإن الملف الضار يُشغَّل، ويسمح للتطبيق الضار بالوصول وإرسال الرموز المميزة للجلسة المسروقة إلى خادم المهاجم بصمت في الخلفية.
وصرح (سيرجي توشين – مؤسس شركة Oversecured – لموقع (تك كرنش) TechCrunch التقني بأنه يمكن للتطبيق الضار أيضًا اختراق أذونات تطبيق تيك توك، مما يسمح له بالوصول إلى كاميرا جهاز أندرويد، والميكروفون، والبيانات الخاصة على الجهاز، مثل: الصور، ومقاطع الفيديو.
وقالت تيك توك: إنها أصلحت الثغرات في وقت سابق من العام الحالي بعد أن أبلغتها بذلك شركة Oversecured.
وقالت المتحدثة باسم تيك توك (هيلاري ماكوايد): “كجزء من جهودنا المستمرة لبناء المنصة الأكثر أمنًا والأكثر أمانًا في الصناعة، نعمل باستمرار مع أطراف ثالثة للعثور على الأخطاء وإصلاحها”. وأضافت: “في حين أن الأخطاء المعنية قد تشكل خطرًا فقط إن نزَّل المستخدم أيضًا تطبيقًا ضارًا على جهاز أندرويد الخاص به، فقد قمنا بإصلاحها”.
يُشار إلى أن أخبار الثغرات تأتي بالتزامن مع تقرير لوكالة رويترز اليوم الجمعة، التي أفادت – نقلًا عن ثلاثة أشخاص مطلعين – بأن بكين تعارض البيع الإجباري لعمليات تيك توك في الولايات المتحدة من قبل مالكتها الصينية (بايت دانس) ByteDance، وهي تُفضِّل إغلاق تطبيق الفيديو القصير في الولايات المتحدة.
وانتقد المسؤولون الأمريكيون أمان تيك توك وخصوصيته، مشيرين إلى إمكانية مشاركة بيانات المستخدم مع بكين. وقالت الشركة: إنها لن تمتثل لأي طلب لمشاركة بيانات المستخدم مع السلطات الصينية.
المصدر
تعليقات القرّاء
التعليقات المنشورة لا تعبر عن رأي الموقع وإنما تعبر عن رأي أصحابها