Проблеми вдалося виявити дослідникам Check Point.

Уточнюється, що знаючи номер телефона, злочинці могли маніпулювати обліковими записами, отримуючи доступ до особистих даних.

Фактично декілька вразливостей у  комплексі давали змогу  застосовувати  віддалений шкідливий код і здійснювати дії від імені жертви.

Водночас всі уразливості окремо не мали високого рівня небезпеки, але в поєднанні давали змогу хакеру видалити з профілю жертви відео, завантажити в профіль неавторизовані відео, робити приватні відео публічними, розкривати особисту інформацію, включно з адресами.

Для атак використовувалася небезпечна система надсилання SMS, пропонована Tik Tok на своєму сайті. Користувач міг надіслати на ваш номер повідомлення та отримати посилання для того, щоб завантажити додаток.

Фото: Checkpoint

Фото: Checkpoint

Відзначається, що повідомлення від особи міг надіслати зловмисник, поміщаючи в повідомлення URL, який скеровував на шкідливу сторінку для виконання коду.

Атака давала змогу застосовувати код від імені жертви, якщо користувачі натискали на посилання в SMS.

Уточнюється, що розробники Tik Tok були  сповіщені про проблему ще наприкінці листопада 2019 року і вже через місяць випустили патчі з виправленнями.