Een van de meest populaire apps voor sociale media wordt strenger gecontroleerd op datalekken, aangezien een mogelijke TikTok-beveiligingsinbreuk werd ontdekt die meer dan een miljard gebruikers zou kunnen treffen.
Maandag tweeten meerdere cyberbeveiligingsspecialisten over de vermeende ontdekking van een onbeschermde serverkwetsbaarheid die toegang gaf tot TikTok’s opslag, waarvan zij denken dat deze persoonlijke gebruikersgegevens bevatte. Slechts een paar dagen geleden, Microsoft Corp. de ontdekking aangekondigd van een “zeer ernstige kwetsbaarheid”, die een TikTok-inbreuk op de Android-app kan veroorzaken, “waardoor aanvallers met een enkele klik de accounts van gebruikers konden binnendringen.”
TikTok, van ByteDance Ltd., had een jaar geleden meer dan een miljard maandelijkse gebruikers en is nu de favoriete app van veel jongeren. Als gevolg hiervan is het een aantrekkelijk doelwit voor hackers die populaire accounts willen stelen of kritieke informatie willen doorverkopen. De regering-Trump classificeerde het als een privacyrisico in 2020 en verbood het bijna vanwege zorgen over mogelijke banden tussen het in Peking gevestigde moederbedrijf en de Chinese overheid.
TikTok-inbreuk op de beveiliging werd gebagatelliseerd door het bedrijf
TikTok verklaarde dat meldingen van een in het weekend gedetecteerde inbreuk vals waren. Volgens een vertegenwoordiger: “Ons beveiligingsteam heeft deze verklaring onderzocht en vastgesteld dat de code in kwestie helemaal niets te maken heeft met de backend-broncode van TikTok.”
Troy Hunt, een Australische online beveiligingsanalist, onderzocht enkele van de gestolen gegevensmonsters en ontdekte overeenkomsten tussen gebruikersprofielen en films die onder die ID’s werden ingediend. Een deel van de informatie in het lek was echter “openbaar toegankelijke gegevens die zonder inbreuk hadden kunnen worden geconstrueerd”. Hij Geplaatst op Twitter dat:
“Dit is tot nu toe vrij onduidelijk; sommige gegevens komen overeen met productie-informatie, zij het openbaar toegankelijke informatie. Sommige gegevens zijn rommel, maar het kunnen niet-productie- of testgegevens zijn. Het is een beetje een allegaartje tot nu toe.”
Microsoft ontdekte een kleinere kwetsbaarheid die mogelijk van invloed was op mobiele telefoons met Android. Het heeft aanvallers mogelijk toegang gegeven tot en wijziging van “TikTok-profielen en gevoelige informatie, zoals door het publiceren van privévideo’s, het verzenden van berichten en het uploaden van video’s namens gebruikers”, aldus Dimitrios Valsamaras van het Microsoft 365 Defender Research Team. Volgens een woordvoerster van TikTok reageerde het bedrijf onmiddellijk op de bevindingen van Microsoft en corrigeerde het de beveiligingszwakte die werd ontdekt “in sommige oudere versies van de Android-app”.
Datalekken veroorzaakt door TikTok zijn een grote zorg voor de VS
Hoe onduidelijk of klein de gebreken ook zijn, TikTok en het moederbedrijf zullen nauwlettend in de gaten worden gehouden in een tijd waarin de VS de sancties tegen bedrijven die banden hebben met China mogelijk aanscherpen. In juni eisten negen Amerikaanse senatoren dat de CEO van TikTok uitleg geeft over vermeende beveiligingslekken in een openbare brief.
President Joe Biden zal een uitvoerend bevel ondertekenen dat Amerikaanse investeringen in Chinese technologiebedrijven beperkt, en een afzonderlijke maatregel gericht op TikTok is mogelijk, waarbij de regering nauwlettend in de gaten houdt of de Chinese overheid toegang heeft tot Amerikaanse gebruikersgegevens. Het bedrijf heeft het Amerikaanse Congres laten weten dat het voorzorgsmaatregelen heeft genomen om dergelijke gegevens te beschermen door middel van een deal met Oracle Corp.
“Er is veel aandacht voor de manier waarop TikTok werkt en er is een grote kloof tussen hoe het werkt en hoe het zegt dat het werkt”, zegt Robert Potter, co-CEO van het Australisch-Amerikaanse cyberbeveiligingsbedrijf Internet 2.0 Inc. studie uitgebracht in juli, verklaarde het team van Potter dat het “overmatige gegevensverzameling” door TikTok op gebruikersapparaten ontdekte, dat de app de positie van het apparaat minstens één keer per uur controleert en dat het code bevat die serienummers verzamelt voor zowel het apparaat als de simkaart . TikTok verwierp de bevindingen en beweerde dat ze “de hoeveelheid gegevens die we verzamelen verkeerd weergeven”.
3/ Internet2.0 geeft een verkeerde voorstelling van de hoeveelheid gegevens die we verzamelen. We verzamelen bijvoorbeeld geen IMEI van het gebruikersapparaat, het serienummer van de simkaart, actieve abonnementsinformatie of het identificatienummer van de kaart met geïntegreerde schakelingen, en we verzamelen geen nauwkeurige GPS-locatie.
— TikTokComms (@TikTokComms) 18 juli 2022
De nieuws trok veel aandacht in Australië, en Clare O’Neil, de nieuwe minister van Binnenlandse Zaken, onthulde maandag dat ze haar bureau heeft opgedragen te onderzoeken welke gegevens TikTok verzamelt en wie er toegang toe heeft. O’Neil zei in opmerkingen per e-mail dat:
“We hebben hier een basisprobleem waar we technologiebedrijven hebben die zijn gevestigd in landen met een meer autoritaire benadering van de particuliere sector. TikTok is niet het begin en het einde hiervan. Het is een van de zeer grote aantallen problemen die deze zeer dominante technologiebedrijven en de rol die ze in ons leven spelen, opwerpt.”
TikTok is mogelijk “keylogging” wat datalekken kan veroorzaken
Een ander studie vorige maand gericht op in-app browsers door beveiligingsonderzoeker Felix Krause, die een tool heeft gemaakt om te verifiëren wat programma’s doen in WebView. De studie, die zich richtte op de kwetsbaarheden van mobiele apps die in-app-browsers gebruiken, onderzocht ongeveer 25 van de meest populaire iOS-apps en ontdekte dat TikTok een keylogging-aanpak gebruikte in zijn in-app-browser. Volgens Krause, “Abonneert TikTok iOS zich op elke toetsaanslag (tekstinvoer) die plaatsvindt op websites van derden die worden weergegeven in de TikTok-app. Dit kunnen wachtwoorden, creditcardgegevens en andere gevoelige gebruikersgegevens zijn.”
Hij merkte ook op dat de iOS-versie van TikTok JavaScript-code gebruikte om te analyseren waar de gebruiker op klikte. Hoewel Krause toegaf dat hij geen idee had wat TikTok met het abonnement doet, beweerde hij dat TikTok’s reactie in een Forbes-artikel aangetoond dat het keylogging-mogelijkheden heeft. TikTok reageerde op TechTarget in een verklaring waarin staat dat de bevindingen van het rapport onjuist en misleidend zijn: “De onderzoeker zegt specifiek dat de JavaScript-code niet betekent dat onze app iets kwaadaardigs doet en geeft toe dat ze niet kunnen weten wat voor soort gegevens onze in-app-browser verzamelt. In tegenstelling tot wat in het rapport wordt beweerd, verzamelen we geen toetsaanslagen of tekstinvoer via deze code, die uitsluitend wordt gebruikt voor foutopsporing, probleemoplossing en prestatiebewaking.”
Experts op het gebied van informatiebeveiliging zijn echter van mening dat TikTok’s gebruik van keylogging voor debuggen beperkt is. Het oplossen van problemen wordt bijvoorbeeld vaak gegeven door het besturingssysteem in plaats van door de software, volgens Chester Wisniewski, hoofdonderzoeker bij Sophos. Apple zou bijvoorbeeld verantwoordelijk zijn voor iPhone-problemen en Google voor Android-problemen omdat ze respectievelijk Safari en Chrome gebruiken.
Volgens Nick DeLena, partner bij adviesbureau DGC die gespecialiseerd is in cyberbeveiliging en privacy, wordt keylogging vaak gezien als een schending van de privacy, en wanneer wordt vastgesteld dat een app of service deze gebruikt, worden ze meestal gedwongen tot een andere manier van debuggen . Volgens DeLena is het risico met de software van TikTok vooral groot omdat de Chinese overheid een belang heeft in het moederbedrijf van TikTok, ByteDance.
Of TikTok nu alleen de capaciteit voor debuggen gebruikt, het kan nog steeds een beveiligingsrisico vormen voor organisaties. Volgens Tim Mackey, hoofd beveiligingsstrateeg bij Synopsys, kan gevoelige bedrijfsinformatie worden opgenomen in het keylogging-datapakket als het programma op het werk wordt gebruikt. Hoewel veel bedrijven voorkomen dat bepaalde apps of services worden gedownload op werkapparaten, kan het beheer van het groeiende externe personeelsbestand problematisch zijn. De overgang heeft de kloof tussen werk en privéleven verdiept.
Wisniewski benadrukte dat mensen in toenemende mate persoonlijke telefoons of tablets gebruiken voor werkgerelateerde taken en zich mogelijk niet bewust zijn van mogelijke risico’s. per ongeluk in de in-app TikTok-browser zitten en bedrijfsdingen gaan doen, en dat is een enorm risico op datalekken.
We hopen dat je genoten hebt van dit artikel over een mogelijke TikTok-inbreuk die vragen oproept over datalekken en beveiliging. Als je dat deed, zullen we zeker genieten van het lezen van enkele van onze andere artikelen, zoals de Apple iPhone-beveiligingsfout fix voor zero-day bug is vrijgegeven, of Zoom Mac-kwetsbaarheid stelt hackers in staat om op afstand toegang te krijgen.
Source: Mogelijke TikTok-inbreuk roept vragen op over datalekken en beveiliging