© 2019 SOPA Images

Groot veiligheidslek in populaire video-app TikTok: "Sociale media en vooral TikTok zijn een doelwit voor hackers"

Ethische hackers van het Israëlisch bedrijf Check Point hebben verschillende kwetsbaarheden ontdekt in de populaire video-app TikTok. Zij konden gegevens van gebruikers stelen en privévideo's bekijken. TikTok is op de hoogte gebracht van het lek en heeft ondertussen een update klaar. "Populaire socialemedia-apps zoals TikTok zijn een gegeerd doelwit voor hackers", zegt ethishe hacker Oded Vanunu vanuit Israël aan VRT NWS. 

Jongeren en ouders met kinderen kennen ongetwijfeld TikTok, de Chinese socialemedia-app waarmee je korte video's met de wereld kan delen. De app ontstond nadat Bytedance, de ontwikkelaar van TikTok, de gelijkaardige app musical.ly had overgenomen. TikTok groeide de laatste maanden uit tot een wereldwijd fenomeen. De app behoort tot de top vijf van meest gedownloade apps ter wereld, na YouTube, Instagram en Snapchat. Tot nu toe werd TikTok maar liefst 1,5 miljard keer gedownload.

TikTok is een gegeerd doelwit

Met zulke cijfers kan het niet anders dan dat hackers op zoek gaan naar kwetsbaarheden, plekken waardoor ze in het systeem van een app kunnen binnenglippen om bijvoorbeeld privégegevens te stelen. Het feit dat TikTok gebruikt wordt door jonge mensen en kinderen is ook een belangrijke reden om van de app een doelwit te maken. 

Wij plaatsen ons in de schoenen van de hackers en gaan zelf op zoek naar kwetsbaarheden

"De afgelopen twee jaar zagen we dat hackers heel actief op zoek gaan naar kwetsbaarheden in sociale media en populaire games. Facebook, TikTok, Fortnite, Twitter en Snapchat (platformen met miljoenen gebruikers, red.) hebben allemaal te maken gehad met virussen die gevoelige informatie probeerden te stelen", zegt Oded Vanunu, die voor Check Point in Tel Aviv een team ethische hackers leidt. "Zo heeft Facebook een tijdje geleden een netwerk opgespoord dat virussen verspreidde via Whatsapp." 

Om hackers met slechte bedoelingen een stapje voor te zijn, gaan Vanunu en zijn team zelf op onderzoek. "Wij plaatsen ons in de schoenen van de hackers en zoeken zelf naar kwetsbaarheden", legt Vanunu uit. "Wanneer we zo'n lek vinden, waarschuwen we de makers van de app, die dan op hun beurt het lek dichten met een update." 

Tot zijn grote verbazing slaagden Vanunu en zijn team erin om in het account van een TikTok-gebruiker (in dit geval iemand uit zijn team, red.) te infiltreren. Dat deden ze door een sms met een valse link te sturen. 

 

Data stelen en persoonlijke video's bekijken

Zodra de gebruiker op de link in de sms had geklikt, konden de ethische hackers zijn account overnemen. Zij hadden volledige controle over zijn gegevens, ze konden ongepaste video's uploaden en privévideo's van de gebruiker bekijken. "Hackers gebruiken graag privéberichten zoals een sms omdat ze met één muisklik miljoenen gebruikers kunnen bereiken", zegt Vanunu. 

In deze video demonstreert een ethische hacker hoe hij te werk gaat: 

Maar daar bleef het niet bij. Via een "XSS-aanval" (hier wordt een programmacode op een alledaagse website geïnstalleerd, mensen die naar die site surfen, delen nietsvermoedend hun e-mailadres en wachtwoord met de hacker, red.) konden de ethische hackers het wachtwoord, e-mailadres en zelfs de geboortedatum van de gebruiker stelen. 

Amerikaanse senatoren willen dat de veiligheidsdiensten TikTok onderzoeken

Nadat hij zijn bevindingen had verzameld, heeft Vanunu de makers van de video-app op de hoogte gebracht. Luke Deschotels, lid van het veiligheidsteam van TikTok, liet in een mededeling weten dat zijn bedrijf zeer begaan is met de persoonlijke gegevens van zijn gebruikers. TikTok benadrukt dat het een goede zaak is dat ethische hackers het lek hadden gevonden, voordat die gegevens in handen van hackers met slechte bedoelingen zouden vallen. Bytedance, de ontwikkelaar van TikTok, heeft ondertussen zijn app geüpdatet.

Toch stellen steeds meer mensen zich vragen over de app, die volgens critici niet alleen onveilig is, maar ook banden heeft met de Chinese overheid. In Amerika, waar TikTok enorm populair is bij jongeren, hebben senatoren aan de veiligheidsdiensten gevraagd om de app te onderzoeken. Vorige week kondigde het Amerikaans leger aan dat Amerikaanse soldaten TikTok niet meer mogen gebruiken op hun smartphones. Volgens het Pentagon vormt TikTok een gevaar voor de nationale veiligheid. 

TikTok groeide de afgelopen maanden heel sterk en kreeg miljoenen gebruikers bij. Als de kritiek nog lang aanhoudt, dreigt er een einde te komen aan de steile groei van TikTok.