Le falle di sicurezza come quella recente di TikTok si basano su un principio semplice: le persone sono più facili da ingannare delle macchine.
Il recente problema di sicurezza che ha colpito TikTok è solo l’ultimo di una lunga serie. Ci sono passati praticamente tutti, da Facebook a Google, passando per FitBit e per altri servizi di qualsiasi dimensione e importanza. Le falle di sicurezza, soprattutto quelle che puntano a ingannare l’utente, sono tutt’altro che nuove.
Di solito i malintenzionati prendono di mira l’applicazione o il servizio più in voga in quel momento, quindi non stupisce che, in questo periodo, le “attenzioni” dei cybercriminali siano rivolte a TikTok. Quello che accomuna la falla di sicurezza identificata da Checkpoint a molti degli attacchi hacker alle altre piattaforme è che anche questo si basa sull’anello più debole della catena, cioè le persone che usano la App.
Come funzionava la falla di sicurezza di TikTok
Tecnicamente, si tratta di un attacco del tipo sms spoofing. Senza entrare troppo nei tecnicismi, un malintenzionato poteva inviare SMS a nome di Tik Tok a qualsiasi utente.
E attraverso questi SMS, usando una serie di codici, manipolare i contenuti degli utenti.
Un’altra parte delle debolezze permetteva di estrarre dati degli utenti. Entrambe sono già state risolte, ma quella che avrebbe potuto fare più “vittime” è senza dubbio la prima, perché permetteva anche di pubblicare video sulle pagine degli utenti.
Il tutto, attraverso un SMS che a tutti gli effetti arrivava da TikTok, almeno in apparenza.
Come prevenire le falle di sicurezza come quella di TikTok in modo semplice e veloce
Per la verità, si tratta di un tipo di attacco “debole”, almeno in teoria, perché deve essere l’utente ad approvare l’operazione anche se inconsapevolmente. Il celebre sito americano Lifehacker ha messo a punto una breve ma efficace guida per punti che ci permette di evitare i rischi, usando il miglior strumento che abbiamo a disposizione, cioè il buon senso. Ecco una breve traduzione dei punti principali di questo “prontuario”.
Molto semplicemente, se riceviamo un messaggio da qualcuno dei servizi che usiamo, dobbiamo ragionare in questo modo.
Il messaggio risponde a una richiesta che abbiamo fatto? Allora probabilmente va tutto bene e possiamo dargli seguito.
Il messaggio è arrivato senza alcuna richiesta? In questo caso dobbiamo essere scettici e iniziare a muoverci con cautela.
Il messaggio è arrivato senza alcuna richiesta e ci chiede di fare qualcosa, come scaricare un file, fare click su un link, aprire una App? Dobbiamo essere ancora più scettici e probabilmente ignorare il messaggio e non fare nulla.
Il messaggio è arrivato senza alcuna richiesta e ci chiede di confermare o aggiornare informazioni, dati sensibili o qualsiasi tipo di dato su uno dei nostri account? Allarme rosso: perché mai una App dovrebbe chiedere informazioni di questo tipo via messaggio?
Applicando questo semplice criterio saremo al sicuro da moltissime minacce, senza bisogno di particolari accorgimenti tecnici.
Fonte foto copertina: https://newsroom.tiktok.com/