Проблемы удалось обнаружить исследователям Check Point.

Уточняется, что зная номер телефона, преступники могли манипулировать учетными записями, получая доступ к личным данным.

Фактически несколько уязвимостей в комплексе позволяли выполнять удаленный вредоносный код и совершать действия от имени жертвы.

При этом все уязвимости по отдельности не имели высокого уровня опасности, но в сочетании позволяли хакеру удалить из профиля жертвы видео, загрузить в профиль неавторизованные видео, делать приватные видео публичными, раскрывать личную информацию, включая адреса.

Для атак использовалась небезопасная система отправки SMS, предлагаемая Tik Tok на своем сайте. Пользователь мог отправить на свой номер сообщение и получить ссылку для того, чтобы загрузить приложение.

Фото: Checkpoint

Фото: Checkpoint

Отмечается, что сообщение от лица приложения мог отправить злоумышленник, помещая в сообщение URL, который вел на вредоносную страницу для выполнения кода.

Атака позволяла выполнять код от имени жертвы, если пользователи нажимали на ссылку в SMS.

Уточняется, что разработчики Tik Tok были уведомлены о проблеме еще в конце ноября 2019 года и уже через месяц выпустили патчи с исправлениями.