TikTok ، وهي خدمة لمشاركة الفيديو على الهاتف المحمول مملوكة لشركة ByteDance للتكنولوجيا ومقرها بكين ، موجودة منذ عام 2016. وتحولت شعبيتها إلى hyper-drive على مدار العامين الماضيين ، حيث تجاوز عدد المستخدمين 28 مليار (وفقًا لـ Craig Chapple ، استراتيجي رؤى الجوّال) عالميًا وقت هذا المنشور.
يتبع مجرمو الإنترنت الاتجاهات - لذا فهم يتعاملون مع الضجيج حول TikTok كفرصة لتوسيع نطاق وصولهم. يمكن للكارهين ومرسلي البريد العشوائي والمحتالين وموزعي البرامج الضارة تسليح الحسابات المخترقة في لمح البصر. لذلك ، من مصلحة كل مستخدم التأكد من أن تجربة مدونات الفيديو ليست عرضة للاستغلال.
والخبر السار هو أنه يمكنك الاستفادة من ميزات الأمان والخصوصية المضمنة في TikTok لرفع مستوى الجهات الفاعلة الخبيثة. تقدم هذه المقالة خطوات بسيطة لتقوية الدفاعات وجعل حسابك صعب الكسر. قبل الخوض في جانب الحماية الخاص بالمسألة ، دعونا نرى ما هي المخاوف الأمنية حول هذه الخدمة التي تم اكتشافها حتى الآن.
يمكن للمجرم استخدام أداة وكيل لتشويه استعلام HTTP الأساسي الذي يتكون من رقم هاتف المستخدم ورابط تنزيل التطبيق الشرعي. يسمح هذا التداخل للمتسلل باستبدال عنوان URL بقيمة مخصصة وبالتالي إرسال رسائل نصية مليئة بالبرامج الضارة نيابة عن TikTok.
يعد توزيع البرامج الضارة وعمليات الاحتيال من حالات الاستخدام الواضحة لهذه التقنية. يمكن أن يكون الموقع التخطيطي الناتج عبارة عن صفحة تصيد بيانات اعتماد أو قد يكون لديه مآثر على متن الطائرة.
قد تبدأ الآليات الهجومية مثل تزوير طلب المواقع المتقاطعة (CSRF) أو البرمجة النصية عبر المواقع (XSS) أيضًا لتنفيذ تعليمات JavaScript البرمجية الضارة خلسة. يمكن أن تؤدي هذه الإساءة إلى نتائج معطلة بشكل خاص ، مما يسهل على الخصم التلاعب بملفات تعريف الارتباط لمتصفح الضحية وتنفيذ إجراءات مختلفة باسمه.
المأزق الآخر هو أن الخدمة ليست عادلة ومربعة للغاية عندما يتعلق الأمر بخصوصية المستخدمين.
في مارس 2020 ، كشف باحثو الأمن عن أكثر من 50 تطبيقًا من تطبيقات iOS و iPadOS التي تقرأ معلومات الحافظة بانتظام. انتهى الأمر بـ TikTok في تلك القائمة أيضًا.
في حين أنه ليس من الواضح تمامًا ما يفعله التطبيق بهذه البيانات ، فإن مثل هذا النشاط يشبه التنصت في أسوأ حالاته. مصدر قلق إضافي هو أن المهاجم الذي ينجح في اختراق تطبيق TikTok سيكون قادرًا على الاحتفاظ بسجل لكل شيء ينسخه المستخدم إلى حافظة الجهاز ، بما في ذلك تفاصيل بطاقة الائتمان وبيانات اعتماد تسجيل الدخول للخدمات الأخرى.
يمكن للعامل الخبيث الذي يتمتع بمهارات تقنية متقدمة أن يوسع سطح الهجوم.
على سبيل المثال ، يتم تشغيل ميزة تسمى Universal Clipboard في أيدي المحتالين في هذا الصدد. الغرض منه هو تسهيل عملية النسخ واللصق بين الأجهزة المختلفة تحت مظلة Apple.
لذلك ، إذا استولى المهاجم على حساب TikTok المستخدم على جهاز iOS أو iPadOS ، فقد يتمكن من الوصول إلى معلومات حساسة على جهاز كمبيوتر Mac ذي صلة.
للتسجيل ، لم يعد أحدث إصدار من TikTok يلقي نظرة خاطفة على بيانات الحافظة. ومع ذلك ، يبقى طعم اللعب الشرير الماضي. جميع التحذيرات التي تم الإبلاغ عنها قد دعت إلى بعض التحركات التقييدية على مستوى الحكومات وإدارات الفروع العسكرية.
في ديسمبر 2019 ، منعت البحرية الأمريكية الأفراد من استخدام هذه الخدمة ، وكذلك فعل الجيش الأمريكي بعد ذلك بوقت قصير.
تأكد أيضًا من أنها تبدو عشوائية قدر الإمكان لمنع المحتالين من تخمينها بناءً على تفاصيلك الشخصية المتاحة على الموارد المتاحة للجمهور مثل الشبكات الاجتماعية.
على عكس المصادقة الثنائية المعروفة (2FA) ، تحل تقنية الهاتف محل حماية كلمة المرور بدلاً من تعزيز كفاءتها. بالمناسبة ، لا توفر خدمة مدونات الفيديو قيد التدقيق المصادقة الثنائية حاليًا.
رسالة نصية بها رمز تحقق TikTok بالداخل
الراحة الكاملة ، رغم ذلك ، يمكن أن تطغى عليها المخاطر الأمنية الناشئة عن هذه الآلية.
ربما تكون قد سجلت الدخول مسبقًا من أداة شخص آخر ونسيت الخروج من الحساب. هذا سيناريو حميد.
إذا كانت القائمة تتضمن هاتفًا ذكيًا لا يمكنك تحديده ، فقد تكون تنبيهًا. للتأكد من أنك في وضع واضح ، انتقل إلى إدارة حسابي ، وانتقل إلى الأمان ، وألق نظرة على إحصائيات نشاط الحساب وقائمة الأجهزة التي تم تسجيل الدخول إليها.
كما توضح إحدى تقنيات إساءة الاستخدام - يمكن للرسائل أيضًا انتحال شخصية TikTok. لا تكن ساذجًا وتجاهلهم.
وإليك كيفية القيام بذلك : انتقل إلى الإعدادات والخصوصية - تابع إلى إدارة حسابي ، واتبع التعليمات التي تظهر على الشاشة لإكمال الإجراء. كجزء من معالجة الهجوم ، تأكد من التحقق من دقة معلومات حسابك على نفس الشاشة.
إذا كنت تواجه مشكلات في هذا الأمر ، فانتقل إلى القسم الفرعي الإبلاغ عن مشكلة ضمن الدعم للوصول إلى شاشة التعليقات والمساعدة. بعد ذلك ، انقر فوق رمز الورقة الورقية في الزاوية اليمنى العليا لإرسال بطاقة دعم تصف موقفك بالتفصيل .
يتبع مجرمو الإنترنت الاتجاهات - لذا فهم يتعاملون مع الضجيج حول TikTok كفرصة لتوسيع نطاق وصولهم. يمكن للكارهين ومرسلي البريد العشوائي والمحتالين وموزعي البرامج الضارة تسليح الحسابات المخترقة في لمح البصر. لذلك ، من مصلحة كل مستخدم التأكد من أن تجربة مدونات الفيديو ليست عرضة للاستغلال.
والخبر السار هو أنه يمكنك الاستفادة من ميزات الأمان والخصوصية المضمنة في TikTok لرفع مستوى الجهات الفاعلة الخبيثة. تقدم هذه المقالة خطوات بسيطة لتقوية الدفاعات وجعل حسابك صعب الكسر. قبل الخوض في جانب الحماية الخاص بالمسألة ، دعونا نرى ما هي المخاوف الأمنية حول هذه الخدمة التي تم اكتشافها حتى الآن.
الثغرات الأمنية المعروفة في TikTok
في أوائل يناير 2020 ، اكتشف الخبراء في شركة الأمن السيبراني Check Point Research سلسلة من نقاط الضعف في TikTok التي قد تقوض حماية حساب الفرد. وفقًا للقبعات البيضاء ، يمكن للمهاجم الافتراضي الاستفادة من هذه العيوب للقيام بما يلي:- اختراق حساب وتغيير محتواه
- محو مقاطع الفيديو
- تحميل مقاطع فيديو جديدة
- تغيير حالة مقاطع الفيديو الخاصة إلى "عامة"
- الحصول على عنوان البريد الإلكتروني للضحية والمعلومات الحساسة الأخرى المتعلقة بالحساب
يمكن للمجرم استخدام أداة وكيل لتشويه استعلام HTTP الأساسي الذي يتكون من رقم هاتف المستخدم ورابط تنزيل التطبيق الشرعي. يسمح هذا التداخل للمتسلل باستبدال عنوان URL بقيمة مخصصة وبالتالي إرسال رسائل نصية مليئة بالبرامج الضارة نيابة عن TikTok.
يعد توزيع البرامج الضارة وعمليات الاحتيال من حالات الاستخدام الواضحة لهذه التقنية. يمكن أن يكون الموقع التخطيطي الناتج عبارة عن صفحة تصيد بيانات اعتماد أو قد يكون لديه مآثر على متن الطائرة.
قد تبدأ الآليات الهجومية مثل تزوير طلب المواقع المتقاطعة (CSRF) أو البرمجة النصية عبر المواقع (XSS) أيضًا لتنفيذ تعليمات JavaScript البرمجية الضارة خلسة. يمكن أن تؤدي هذه الإساءة إلى نتائج معطلة بشكل خاص ، مما يسهل على الخصم التلاعب بملفات تعريف الارتباط لمتصفح الضحية وتنفيذ إجراءات مختلفة باسمه.
ماذا يفعل المجرم الإلكتروني بعد ذلك ؟
يمكن أن يمهد هذا الوصول طريق المحتال نحو إزالة مقاطع الفيديو التعسفية وإضافة مقاطع جديدة والموافقة على المتابعين وجعل المحتوى الخاص عامًا. يعرض وجه سرقة المعلومات لهذا الاستغلال البيانات الحساسة للضحية للخطر ، بما في ذلك عنوان البريد الإلكتروني وتفاصيل الدفع وتاريخ الميلاد. لحسن الحظ ، أصدرت الشركة التي تقف وراء TikTok منذ ذلك الحين تصحيحات لهذه المشكلات.المأزق الآخر هو أن الخدمة ليست عادلة ومربعة للغاية عندما يتعلق الأمر بخصوصية المستخدمين.
في مارس 2020 ، كشف باحثو الأمن عن أكثر من 50 تطبيقًا من تطبيقات iOS و iPadOS التي تقرأ معلومات الحافظة بانتظام. انتهى الأمر بـ TikTok في تلك القائمة أيضًا.
في حين أنه ليس من الواضح تمامًا ما يفعله التطبيق بهذه البيانات ، فإن مثل هذا النشاط يشبه التنصت في أسوأ حالاته. مصدر قلق إضافي هو أن المهاجم الذي ينجح في اختراق تطبيق TikTok سيكون قادرًا على الاحتفاظ بسجل لكل شيء ينسخه المستخدم إلى حافظة الجهاز ، بما في ذلك تفاصيل بطاقة الائتمان وبيانات اعتماد تسجيل الدخول للخدمات الأخرى.
يمكن للعامل الخبيث الذي يتمتع بمهارات تقنية متقدمة أن يوسع سطح الهجوم.
على سبيل المثال ، يتم تشغيل ميزة تسمى Universal Clipboard في أيدي المحتالين في هذا الصدد. الغرض منه هو تسهيل عملية النسخ واللصق بين الأجهزة المختلفة تحت مظلة Apple.
لذلك ، إذا استولى المهاجم على حساب TikTok المستخدم على جهاز iOS أو iPadOS ، فقد يتمكن من الوصول إلى معلومات حساسة على جهاز كمبيوتر Mac ذي صلة.
للتسجيل ، لم يعد أحدث إصدار من TikTok يلقي نظرة خاطفة على بيانات الحافظة. ومع ذلك ، يبقى طعم اللعب الشرير الماضي. جميع التحذيرات التي تم الإبلاغ عنها قد دعت إلى بعض التحركات التقييدية على مستوى الحكومات وإدارات الفروع العسكرية.
في ديسمبر 2019 ، منعت البحرية الأمريكية الأفراد من استخدام هذه الخدمة ، وكذلك فعل الجيش الأمريكي بعد ذلك بوقت قصير.
نصائح أمان حساب TikTok :
نظرًا لأن حساب TikTok هو منجم ذهب للمعلومات الحساسة للمستخدم ، يتم إغراء مجرمي الإنترنت لإيجاد طرق للتحايل على دفاعاته والدخول. قد تشير العلامات الحمراء التالية إلى حل وسط ويجب أن تحثك على اتخاذ إجراء فوري:- تم تغيير كلمة مرور TikTok أو عنوان البريد الإلكتروني للأمان أو رقم الهاتف المرتبط بالحساب.
- تم تعديل اسم المستخدم أو اللقب الخاص بك.
- يقوم شخص ما بإزالة أو إضافة مقاطع فيديو من خلف ظهرك.
- يتم إرسال الرسائل دون إذنك.
- يقودنا هذا إلى الأساليب التي ستمنع الجناة من الوصول غير المصرح به إلى حسابك. فيما يلي ملخص لأفضل ممارسات أمان TikTok:
1. استخدم كلمة مرور قوية
بغض النظر عن الكيفية التي قد تبدو بها هذه التوصية ، فهي معقل سلامة حسابك. بالإضافة إلى جعل كلمة مرورك تتكون من 12 حرفًا على الأقل ، قم بتضمين أحرف خاصة (٪ ، $ ، & ، وما إلى ذلك) ، والأحرف الكبيرة ، والأرقام.تأكد أيضًا من أنها تبدو عشوائية قدر الإمكان لمنع المحتالين من تخمينها بناءً على تفاصيلك الشخصية المتاحة على الموارد المتاحة للجمهور مثل الشبكات الاجتماعية.
2. الامتناع عن إعادة استخدام كلمات المرور
تحدث خروقات للبيانات ، لذلك لا تريد أن تتطابق معلومات المصادقة الخاصة بك لحساب آخر مع كلمة مرور TikTok. يعد استخدام نفس كلمة المرور عبر خدمات مختلفة مثيلًا كلاسيكيًا لنقطة فشل واحدة محتملة (SPOF).3. ميزة "تسجيل الدخول مع التحقق" يمكن أن تجعل يومك
إذا قمت بتمكين التحقق عن طريق إضافة رقم هاتفك إلى تفاصيل الملف الشخصي ، فإن منصة TikTok ستنشئ كلمة مرور لمرة واحدة (OTP) في كل مرة تقوم فيها بتسجيل الدخول. لكن لاحظ المشكلة أعلاه برقم هاتفك.على عكس المصادقة الثنائية المعروفة (2FA) ، تحل تقنية الهاتف محل حماية كلمة المرور بدلاً من تعزيز كفاءتها. بالمناسبة ، لا توفر خدمة مدونات الفيديو قيد التدقيق المصادقة الثنائية حاليًا.
رسالة نصية بها رمز تحقق TikTok بالداخل
4. منع كلمة المرور الخاصة بك من أن يتم حفظها تلقائيًا
وغني عن القول أن حفظ كلمة المرور هو خيار مفيد. في الواقع ، يقوم TikTok بذلك بشكل افتراضي.الراحة الكاملة ، رغم ذلك ، يمكن أن تطغى عليها المخاطر الأمنية الناشئة عن هذه الآلية.
- ضع في اعتبارك إيقاف تشغيل حفظ كلمة المرور التلقائية للخطأ في جانب الحذر.
- اضغط على أيقونة Me في أسفل يمين شاشة TikTok الرئيسية.
- توجه إلى الإعدادات والخصوصية
- حدد إدارة حسابي
- ثم قم بتمرير زر حفظ معلومات تسجيل الدخول إلى اليسار - مما يؤدي إلى إيقاف تشغيله.
- قم بإيقاف تشغيل خيار حفظ معلومات تسجيل الدخول
5. ابق على اطلاع بإحصائيات استخدام الحساب
يتيح لك جزء أجهزتك في التطبيق معرفة الأجهزة التي يتم فتح حسابك عليها على هاتفك المحمول في أي وقت.ربما تكون قد سجلت الدخول مسبقًا من أداة شخص آخر ونسيت الخروج من الحساب. هذا سيناريو حميد.
إذا كانت القائمة تتضمن هاتفًا ذكيًا لا يمكنك تحديده ، فقد تكون تنبيهًا. للتأكد من أنك في وضع واضح ، انتقل إلى إدارة حسابي ، وانتقل إلى الأمان ، وألق نظرة على إحصائيات نشاط الحساب وقائمة الأجهزة التي تم تسجيل الدخول إليها.
6. الابتعاد عن Sketchy Links
قد يحاول المجرمون الإلكترونيون هندستك الاجتماعية في النقر فوق ارتباط تشعبي يؤدي إلى صفحة ويب ضارة تستضيف حمولة ضارة. قد تصل هذه الروابط عبر رسائل نصية مفخخة أو رسائل بريد إلكتروني تصيدية يرسلها الغرباء أو عمليات إعادة توجيه ضارة تسببها البرامج الضارة.كما توضح إحدى تقنيات إساءة الاستخدام - يمكن للرسائل أيضًا انتحال شخصية TikTok. لا تكن ساذجًا وتجاهلهم.
7. فكر فيما تشاركه
لا تدع أي معلومات تعريف شخصية (PII) مثل عنوان البريد الإلكتروني أو رقم الهاتف في أوصاف الفيديو. قد يسيء المتسلل المخضرم التعامل مع المعلومات لخرق حسابك.ماذا تفعل إذا تم اختراق حساب TikTok الخاص بك ؟
إذا لاحظت أدنى علامة على وجود خرق ، فابدأ وقم بتغيير كلمة مرور حسابك دون تفكير ثانٍ.وإليك كيفية القيام بذلك : انتقل إلى الإعدادات والخصوصية - تابع إلى إدارة حسابي ، واتبع التعليمات التي تظهر على الشاشة لإكمال الإجراء. كجزء من معالجة الهجوم ، تأكد من التحقق من دقة معلومات حسابك على نفس الشاشة.
إذا كنت تواجه مشكلات في هذا الأمر ، فانتقل إلى القسم الفرعي الإبلاغ عن مشكلة ضمن الدعم للوصول إلى شاشة التعليقات والمساعدة. بعد ذلك ، انقر فوق رمز الورقة الورقية في الزاوية اليمنى العليا لإرسال بطاقة دعم تصف موقفك بالتفصيل .