Την περασμένη εβδομάδα, εισβολείς κατέλαβαν λογαριασμούς TikTok υψηλού προφίλ, που ανήκουν σε πολλές εταιρείες και διασημότητες, εκμεταλλευόμενοι μια ευπάθεια zero-day στη λειτουργία άμεσων μηνυμάτων της εφαρμογής.
Δείτε επίσης: Check Point VPN zero-day χρησιμοποιείται σε επιθέσεις από τις 30 Απριλίου
Αφού παραβιάστηκαν, οι λογαριασμοί χρηστών που ανήκαν στη Sony, το CNN και την Paris Hilton έπρεπε να αφαιρεθούν για να αποφευχθεί η κατάχρηση. Ο λογαριασμός του CNN ήταν ο πρώτος που παραβιάστηκε την περασμένη εβδομάδα, όπως ανέφερε για πρώτη φορά η Semaphor την Κυριακή.
Όπως ανέφερε το Forbes, η ευπάθεια zero-day που χρησιμοποιούν οι εισβολείς για να χακάρουν τους λογαριασμούς TikTok μέσω DM, χρειάζεται μόνο τους στόχους να ανοίξουν το κακόβουλο μήνυμα και δεν απαιτεί λήψη ωφέλιμου φορτίου ή κλικ σε ενσωματωμένους συνδέσμους.
“Η ομάδα ασφαλείας μας γνωρίζει μια πιθανή εκμετάλλευση που στοχεύει έναν αριθμό λογαριασμών επωνυμιών και διασημοτήτων“, δήλωσε στο Forbes ο εκπρόσωπος Τύπου του TikTok, Alex Haurek. “Έχουμε λάβει μέτρα για να σταματήσουμε αυτήν την επίθεση και να αποτρέψουμε να συμβεί στο μέλλον. Συνεργαζόμαστε απευθείας με τους κατόχους λογαριασμών που επηρεάζονται για να αποκαταστήσουμε την πρόσβαση, εάν χρειαστεί.“
Δείτε ακόμα: Google Chrome: Διορθώνεται τέταρτο zero-day σε ένα μήνα
Σύμφωνα με τον Haurek, οι εισβολείς έχουν παραβιάσει μόνο έναν πολύ μικρό αριθμό λογαριασμών TikTok μέσω του zero-day. Η εταιρεία δεν έχει ακόμη αποκαλύψει τον ακριβή αριθμό των επηρεαζόμενων χρηστών και δεν έχει κοινοποιήσει καμία λεπτομέρεια σχετικά με την εκμεταλλευόμενη ευπάθεια μέχρι να διορθωθεί το υποκείμενο ελάττωμα.
Κι άλλα ελαττώματα επέτραψαν παραβίαση λογαριασμών
Αυτή δεν είναι η πρώτη ευπάθεια zero-day που επηρεάζει τους χρήστες του TikTok τα τελευταία χρόνια. Πρόσφατα, η εταιρεία διόρθωσε ένα ελάττωμα στο Android που ανακαλύφθηκε από τη Microsoft τον Αύγουστο του 2022, το οποίο επέτρεπε σε hackers να παραβιάσουν “γρήγορα και αθόρυβα” λογαριασμούς με ένα πάτημα.
Προηγουμένως, διόρθωσε επίσης σφάλματα ασφαλείας που επέτρεπαν στους εισβολείς να παρακάμψουν τις προστασίες απορρήτου της πλατφόρμας και να κλέψουν ιδιωτικές πληροφορίες χρήστη, συμπεριλαμβανομένων αριθμών τηλεφώνου και αναγνωριστικών χρηστών.
Δείτε επίσης: Η εξαγορά του TikTok θα μπορούσε να κοστίσει 100 δισεκατομμύρια
Μία ευπάθεια zero-day, όπως αυτό του TikTok, αναφέρεται σε ένα ελάττωμα ασφαλείας λογισμικού που είναι άγνωστο στον προμηθευτή λογισμικού και ως εκ τούτου, δεν έχει ακόμη επιδιορθωθεί. Ο όρος “zero-day” υποδηλώνει ότι οι προγραμματιστές έχουν “μηδέν ημέρες” για να αντιμετωπίσουν και να μετριάσουν την ευπάθεια προτού δυνητικά την εκμεταλλευτούν κακόβουλοι παράγοντες. Αυτοί οι τύποι τρωτών σημείων μπορεί να είναι ιδιαίτερα επικίνδυνοι, καθώς μπορούν να χρησιμοποιηθούν για την εκτέλεση κυβερνοεπιθέσεων, την κλοπή δεδομένων ή την παραβίαση συστημάτων χωρίς να δίνουν στους χρήστες την ευκαιρία να ενημερώσουν και να ασφαλίσουν το λογισμικό τους.
Πηγή: bleepingcomputer
