זה נחמד כששירות מקוון מתקן פגמי אבטחה מיידית. אבל לפעמים הבאגים עצמם כל כך חמורים שאתה צריך לתהות אילו סכנות אחרות אורבות בקוד הזה.

מקרה לגופו:אפליקציית שיתוף הסרטונים TikTok.

חברת האבטחה צ'ק פוינט מחקרמצא מספר בעיות אבטחהבאפליקציית TikTok ובאתר האינטרנט שלה, פוטנציאל לאפשר לתוקף לשלוט בחשבון של מישהו אחר, למחוק את הסרטונים שלו, להעלות סרטונים לא מורשים, להפוך סרטונים פרטיים לציבוריים ולחשוף מידע אישי של משתמש, כולל כתובת האימייל הפרטית שלו.

TikTok הוא אחד מההפופולרי ביותראפליקציות בחוץ, זה יהיה די גרוע. אבל שוב, הכמות וסוג הבאגים שנמצאו הם שמדאיגים יותר.

בעיה אחת אפשרה לשחקנים גרועים לשלוח הודעת SMS לכל מספר טלפון בשם TikTok. בעיקרון, עם תיקון קוד פשוט למדי, תוקף יכול היה לשלוח הודעת SMS מסוג: "אנא הורד את העדכון הדחוף הזה", עם קישור המוביל לאפליקציה זדונית, וקבל את ה-SMSמגיעים למעשהמ-TikTok. אוף.

באג אחר אפשר לתוקף לבצע קוד JavaScript בשם הקורבן, ושילוב שני הבאגים אפשר לתוקף לבצע פעולות בחשבון של הקורבן ללא הסכמה.

היו באגים אחרים, וחלקם דרשו כמות לא מבוטלת של ידע טכני כדי לנצל אותם, אבל הם מסתדרים וזה מרגיש כאילו האבטחה של TikTok היא, בסך הכל, יותר מקצת מרושלת.

"לפני החשיפה לציבור, צ'ק פוינט הסכימה שכל הבעיות שדווחו תוקנו בגרסה האחרונה של האפליקציה שלנו. אנו מקווים שהפתרון המוצלח הזה יעודד שיתוף פעולה נוסף עם חוקרי אבטחה", אמר TikTokBBCבהצהרה.

החברה אמרה שאין שום אינדיקציה לכך שתוקף באמת ניצל כל אחד מהבאגים הללו לפני החשיפה הזו.

TikTok עלתה לכותרות בשנה שעברה כאשר הבעלים שלה, ByteDance של סין, היהקנסעל ידי ה-FTC על איסוף לא חוקי של נתונים של ילדים. האפליקציה הייתהאָסוּרעל ידי צבא ארה"ב בגלל חששות אבטחת סייבר, וזהובחקירהבאיחוד האירופי על האופן שבו הוא מטפל בנתוני ילדים.