Nel 2019, TikTok è stata una delle applicazioni più popolari al mondo, con circa 1.5 miliardi di download che, però, non hanno dissipato i dubbi sul suo rispetto della privacy e sulla correttezza generale di ByteDance, la società sviluppatrice (che, secondo TechCrunch, tra l’altro avrebbe avviato la sperimentazione di una feature in-app per la generazione di video deepfake). A tutto ciò si è appena aggiunta un’inquietante scoperta in ambito security, che ben si sposa con la decisione dell’esercito americano di proibirne l’uso ai propri coscritti.
Come noto, TikTok, al momento l’app più in voga dai giovani, è reperibile sui principali app store (tra cui quello di Apple, Google, e Amazon) ma, in più, è possibile scaricarla anche dal sito ufficiale, tiktok.com, fornendo un numero di telefono, magari dopo aver ceduto all’invito di guardare qualche video di quelli top trend presenti sulla piattaforma. Ottemperando a tale richiesta, si riceve un SMS con link per il download dell’app dai server di ByteDance.
Il problema è che, sfruttando questo meccanismo del sito, e 4 vulnerabilità dell’app stessa, gli hacker avrebbero potuto condurre un attacco che, nelle simulazioni dei ricercatori, permetteva di rubare i dati personali (numero di telefono, email, nome e cognome, etc) associati all’account, e di controllare parzialmente quest’ultimo, magari settando come pubblici dei contenuti privati, cancellando dei video caricati dall’utente e sostituendoli con altri (magari per propagare l’attacco).
In più, sfruttando le vulnerabilità in oggetto, i pirati 2.0 avrebbero anche potuto portare il malcapitato su un finto sito di TikTok, onde sottoporlo a vari attacchi (es. Cross-Site Scripting, Sensitive Data Exposure, o Cross-Site Request Forgery), oltre a spostarlo d’arbitrio su un server in proprio possesso, sì da potersi auto abilitare a inviare richieste indesiderate per conto dell’ignaro utente.
Per fortuna, tali problemi, emersi nel corso del mese di Novembre, sono stati privatamente comunicati alla società controllante dell’app che, a Dicembre, in meno d’un mese dalla notifica dell’alert, ha sanato il sito e caricato online una versione sicura della propria app: l’invito dunque, oltre ad analizzare con prudenza eventuali SMS a firma TikTok, è quello di aggiornare l’app in proprio possesso, qualora non fosse stato fatto prima, rivolgendosi al proprio store di riferimento. https://www.hdblog.it/smartphone/articoli/n514887/bytedance-tiktok-generatore-deepfakes/