Site icon Notizie italiane in tempo reale!

TikTok: falla di sicurezza, rischio furto di identità e phishing per milioni di profili. Gubiani: “Serve educazione digitale”

Una falla grande e pericolosa che potrebbe essere usata dai cybercriminali per compromettere e di fatto rubare un profilo TikTok. E potenzialmente attiva e sfruttabile su milioni di dispositivi nel mondo e quindi anche in Italia. E’ quella che hanno scoperto i ricercatori di Check Point Security, testando i meccanismi di difesa del social più diffuso tra i giovanissimi e purtroppo salito alle cronache negli ultimi tempi dopo la morte della piccola Antonella dopo una “sfida” di soffocamento trovata sul social, poi bloccato in Italia dall’intervento del Garante per la privacy. Che sottolinea come da TikTok debbano arrivare in tempi brevi misure di verifica strette sull’identità e l’età degli utenti, per evitare che i più piccoli vengano coinvolti in attività pericolose.

Il risultato degli stress test svolti da Check Point è chiaro: TikTok è a rischio furto di identità, e anche se nelle ultime ore il social ha rilasciato un aggiornamento apposito, sono milioni i profili ancora vulnerabili. La falla è stata individuata ovata nella funzione “Trova Amici” di TikTok, e consene di bypassare le protezioni sulla privacy create per difendere gli utenti. Se non riparata attraverso l’aggiornamento, la vulnerabilità consente ad un hacker malintenzionato di accedere ai dettagli del profilo di un utente, ma non solo. A disposizione del cybercriminale si aggiungono ill numero di telefono dell’account, il nickname, le immagini del profilo, l’avatar, gli ID utente unici e alcune impostazioni sensibili, ad esempio il settaggio di privacy da follower pubblico o anonimo. Insomma di fatto ogni informazione necessaria ad appropriarsi indebitamente dell’identità altrui su TikTok, con tutti i rischi a catena che un evento del genere comporta. Su indicazione di Check Point, ByteDance, lo sviluppatore di TikTok, ha quindi rilasciato l’aggiornamento di protezione. Ed è quindi fondamentale aggiornare l’app il prima possibile. Un portavoce di TikTok ha dichiarato: “La sicurezza e la privacy della comunità di TikTok hanno la nostra massima priorità, e apprezziamo il lavoro di partner fidati come CheckPoint nell’identificare potenziali problemi in modo da poterli risolvere prima che colpiscano gli utenti”.

Spiega Oded Vanunu, capo della Ricerca sulle vulnerabilità di Checkpoint:  “Questa vulnerabilità poteva permettere ad un aggressore di costruire un database dettagliato degli utenti che, con quel grado di informazioni sensibili, avrebbe consentito all’aggressore di eseguire una serie di attività criminali come lo spear phishing”.

Repubblica ha raggiunto David Gubiani, Regional Director SE EMEA Southern di Check Point.

A che tipo di pericoli si espone un utente di TikTok e quanti di questi pericoli sono particolarmente insidiosi per i minori?
Aggiornando l’app al momento non abbiamo rilevato ulteriori rischi di cybersicurezza, ma un utente che condivide video e foto, soprattutto se in modalità visibile a chiunque, è soggetto agli stessi rischi che si possono correre anche su altre piattaforme.

Come proteggersi sui social e su TikTok in particolare?
La prima forma di tutela, che non vale solo per TikTok ma per tutte le app, è quella di scaricare qualsiasi app solo dagli store ufficiali: il gioco online che va di moda, le app con i
filtri per caricare foto o video divertenti sui social network… Scaricando tutto solo dagli app store ufficiali si riducono al minimo i rischi di installazione di programmi inaffidabili che

potrebbero consentire il download di software maligni come trojan, keylogger, ecc. Poi bisogna sempre mantenere sia le app che il sistema operativo dello smartphone aggiornati all’ultima versione disponibile, perché negli aggiornamenti sono spesso rilasciate patch importanti. Questo lato “strumenti”, poi bisogna anche comportarsi in modo responsabile, evitando di divulgare informazioni personali soprattutto se accessibili a chiunque, questo per evitare di fornire preziosi indizi agli hacker, ma anche a malviventi nella vita offline.

Quale può essere un sistema per garantire la sicurezza dei profili?
Il sistema più semplice ed efficace per garantire la sicurezza dei profili è quello di cambiare spesso la password, questo permette di essere più protetti anche in caso di trafugamento di dati, perché il database trafugato diventerebbe presto “vecchio”. Inoltre, è meglio impostare, quando possibile, l’autenticazione a due fattori per controllare se qualcuno tenta
di accedere ai nostri account.

Alla luce del blocco all’app imposta dal Garante italiano, esiste un sistema di certificazione dell’età reale degli utenti?
Al momento ci sono solo due strumenti per certificare l’età degli utenti online: richiedere l’accesso o registrazione tramite SPID oppure richiedere un documento di riconoscimento
valido. Le app che accettano lo SPID sono praticamente solo quelle pubbliche, e anche se si ampliasse l’utilizzo questo non risolverebbe il problema di come comportarsi con i minori perché loro non dispongono di questi documenti.

E’ possibile per un genitore monitorare nel dettaglio l’attività del profilo del minore oltre che con un’altra installazione di TikTok su un secondo dispositivo, e lo stesso profilo utente del figlio?
Leggendo le linee guida di TikTok per i genitori sembra che l’app permetta molte azioni di controllo, tramite la funzione “collegamento famigliare”, come la gestione del tempo, un
certo controllo dei messaggi etc e anche la recente iniziativa di TikTok di rendere “privati” di default i profili dei minori di 16 anni va sicuramente nella direzione di cercare di proteggere i content creator e gli utenti minoriò. Il problema però non può essere esclusivamente legato a tecnologia e strumenti, ma coinvolge l’aspetto culturale educativo dei figli che devono essere consapevoli dei rischi, ma anche dei genitori, che spesso non hanno la conoscenza per gestire o rapportarsi con gli strumenti utilizzati dai più giovani. Questi sono alcuni consigli che possiamo dare per aiutare figli e genitori ad un comportamento sicuro e consapevole sui social: accompagnarli nei primi passi della loro vita digitale: un genitore che segue il proprio figlio nella scoperta di internet farà in modo che non cada in nessuno dei pericoli o rischi presenti in questo mondo. Essere al loro fianco durante i primi utilizzi è molto importante affinché sappiano farlo da soli in modo corretto. Poi cercare metodi di apprendimento divertenti: la sicurezza su internet non è il massimo del divertimento per i più piccoli. Imparare le basi della cybersecurity in modo divertente è una delle principali sfide per genitori e insegnanti. Ecco perché esistono giochi interattivi che aiutano i bambini ad assimilare i concetti più importanti in modo divertente e piacevole. Alcuni di questi giochi, come CyberScouts, Hackers, Cybercrook, o Be Internet Awesome di Google, li aiuteranno ad assimilare i concetti più importanti senza che se ne rendano conto. E ancora, sensibilizzarli sui rischi reali: l’educazione non consiste nello spaventare i bambini sui pericoli di internet, ma nell’aiutarli a prendere coscienza dei rischi affinché conoscano l’importanza di essere protetti per godere di una vita digitale sicura. Il modo migliore per raggiungere questo obiettivo è mantenendo una conversazione naturale sull’;argomento, condividendo le abitudini, le pagine che navigano, i siti migliori.

Tecnicamente, in che modo un malintenzionato può sfruttare le vulnerabilità scoperte in TikTok??
Nella ricostruzioe dell’attacco l’aggessore ha creato un elenco di dispositivi con i loro ID, utilizzati poi per la query dei server di TikTok, dopodiché ha creato una lista di token di sessione (ognuno valido per 60 giorni) che saranno utilizzati per interrogare i server di TikTok e ha bypassato il meccanismo HTTP della firma digitale di TikTok utilizzando il proprio servizio di firma, eseguito in background. Infine, ha legato il tutto modificando le richieste HTTP, firmandole di nuovo e utilizzando vari token e ID per bypassare i sistemi di difesa di TikTok. Questa vulnerabilità avrebbe potuto permettere ad un aggressore di costruire un database dettagliato degli utenti che, con quel grado di informazioni sensibili, avrebbe permesso all’aggressore di eseguire una serie di attività criminali come lo spear phishing, ma non solo: disponendo anche del numero di telefono avrebbe potuto coinvolgere le vittime inviando dei falsi SMS di conferma, oppure inviare falsi SMS con mittente TikTok contenenti link malevoli. Essendo un database di utenti reali e con varie informazioni confidenziali gli usi possono essere molteplici, inoltre se nelle informazioni è presente anche l’età, o comunque è molto probabile che l’età media sia molto bassa, queste  informazioni possono diventare interessanti per le reti di pedofili e chi vende materiale pedopornografico.

 



Go to Source

Exit mobile version