Tik Tok umożliwia oszustwa SMS
Korzystanie z krótkich filmików może skończyć się oszustwem. Platforma Tik Tok je umożliwi przez błędy w swojej aplikacji.
Badacze Roman Zaikin, Dikla Barda, Aleksiej Wołodin, Eran Waknin oraz Alon Boxiner wskazali, że Tik Tok niesie zagrożenie dla użytkowników. Sama aplikacja jest dostępna w siedemdziesięciu pięciu językach. Trafiła wedle wyliczeń analityków na sto pięćdziesiąt rynków. Posiada również jeden miliard użytkowników, co umiejscawia ją w czołówce w rankingach popularności. Aplikacja jest skierowana głównie do nastolatków. Umożliwia im wysyłanie czegoś na wzór SMS video. Dzieci używają programu do tworzenia nagrań pomiędzy trzema a piętnastoma sekundami. Osobną kwestię stanowi zwrócenie uwagi na jakim one znajdują się poziomie. Naśladowanie ulubionych idoli, wcielania się w superbohaterów z filmów i komiksów, nagrywanie scen w kuchni są tylko przykładami do czego jest ona używana. Amerykańska marynarka wojenna oficjalnie zakazała używania aplikacji na okrętach. Demokrata Chuck Schumer wskazał, że „program Tik Tok niesie ze sobą zagrożenie dla bezpieczeństwa narodowego”. New York Times wskazał, że program jest pod szczególną obserwacją. Armia Stanów Zjednoczonych wskazała, że jej personel ma oficjalny zakaz używania programu na telefonach służbowych. Zarazem używa jej do prowadzenia rekrutacji…
Zespół z Check Poin Research zauważył, że program posiada wiele podatności. Tak określa się błędy pozwalające na korzystanie z programu w sposób niezgodny z tym, co przeznaczył mu twórca, na przykład przekształcenie w podsłuch. Wskutek pomyłek programistów istnieje możliwość przejęcia konta Tik Tok i zmanipulowania tego, co zawiera. Scenariusze są tutaj liczne, ale to pozwala między innymi na publikacji niewygodnych nagrań, podsuwania osób pod tak zwany nóż, czyli wikłania ich w sprawy kryminalne z jakim nie mieli do czynienia jako efekt działania grup przestępczy, czy operacje wywiadu. Zarazem pozwalają na usuwanie nagrań, co w przypadku poszukiwania i zbierania dowodów ma pierwszorzędne znaczenie.
Równocześnie istnieje możliwość wgrywania video jakiego nie stworzył użytkownik. Pozwala również na zmianę oznaczeń dla nagrań. Tym samym nagrania oznaczone jako prywatne mogą być ogólnodostępne. Obok tego pozwalają również na pozyskiwanie takich informacji jak adres poczty elektronicznej. W przypadku części osób to umożliwienie wyłudzania pieniędzy na tak zwaną wędkę przez podszywanie się pod inne osoby i dostarczanie szkodliwych, zawirusowanych treści. Wątpliwości budzi fakt, że po zainstalowaniu Tik Tok na telefonie pojawia się możliwość wysyłania wiadomości w czyimś imieniu. Nie ma tutaj ograniczeń do co numeru. Obok osób z listy kontaktów jest zatem możliwe wysyłanie wiadomości SMS na numery płatne.
Od kuchni proces polega na wykorzystaniu zaszytych w aplikacje schematów. Użytkownik nie ma do nich dostępu, przynajmniej bezpośrednio. Zmiana użytego adresu w aplikacji z http na musically umożliwia zmianę zachowania urządzenia. Ten drobiazg umożliwia tworzenie systemów przekierowań opartych o przeglądarkę internetową. Tym samym pozwala na wprowadzanie fałszywych linków. Przesłane dalej na zewnątrz wyglądają na zwykłe i powszechnie używane, ale w rzeczywistości zawierają odniesienie do strony przestępców, czy haktywistów.
Adresy sieciowe umożliwiają stosowania parametrów w trakcie zapytań. Dzięki temu takie giganty jak Google nie mają potrzeby stworzenia listy wszelkich możliwych zapytań do wyszukiwarki. Stosują tylko wzorce do jakich są one dopasowane. Dodatnie odpowiedniego parametru przekształca na przykład wyszukiwanie obrazków w poszukiwania stron tekstowych. W Tik Tok pojawiła się możliwość oszustw między uczestnikami tak zwanego CSRF. Jest to technika jaka pozwala na włączenie się do elementów w danej aplikacji uznanych do tej pory za bezpieczne. Program myśli, że otrzymuje parametry z zaufanego źródła i je przetwarza. Efektem tego jest zmiana sposobu jego pracy. Przykładowo w ramach parametru redirect_url w Tik Tok jest możliwość wybrania innej strony do otwarcia. Nieświadomy użytkownik wpisuje swoje dane, a one są przejmowane przez sprawców. Dlatego istotne jest zwracanie uwagi na wygląd stron w jakich wpisujemy swoje informacje takie jak logi i hasło, czy nie są pełne błędów, lub nietypowych i nie działających elementów.
Efektem tych potknięć jest narażenie użytkowników na ośmieszenie, czy oszustwo. Dla nastolatków traktujących cyfrową rzeczywistość jak świat wokół nich to jest ryzyko między innymi wręcz problemów emocjonalnych, czy nawet chorób psychicznych (np. depresji) w przypadku dobrze przeprowadzonej, wymierzonej w jedną osobę operacji.
Jacek Skrzypacz
Źródło: Jacek Skrzypacz
