Vulnerabilidades de segurança encontradas no aplicativo chinês de compartilhamento de vídeo curto, TikTok, permitiram que os invasores contornassem as configurações de privacidade da plataforma e, assim, acessassem os dados pessoais e confidenciais do usuário.
As vulnerabilidades foram encontradas por pesquisadores do desenvolvedor de segurança da informação israelense Check Point em dezembro de 2019 e corrigidas agora no final de janeiro.
Segundo os pesquisadores, as vulnerabilidades foram encontradas na ferramenta localizar amigos (“Find Friends”, dentro do aplicativo) e o caso explorado poderia revelar números de telefone de usuários que verificaram o número de telefone (que não é obrigatório); nome do usuário; imagens, configurações e dados de perfil; além das listas de seguidores e usuários que o usuário está seguindo.
“As equipes de pesquisa da Check Point descobriram uma vulnerabilidade no recurso localizador de amigos do aplicativo móvel TikTok […] A exploração bem-sucedida permitiu que um invasor criasse um banco de dados de usuários e seus números de telefone relacionados”, escreveram os pesquisadores em um relatório publicado na terça-feira ( 26).
Os pesquisadores explicam que, para realizar tal ataque, os cibercriminosos devem criar uma lista de vítimas, com IDs de usuário, criar uma lista de tokens de sessão, ignorar o mecanismo de assinatura de mensagem HTTP do TikTok e modificar as solicitações HTTP.
ByteDance, empresa responsável pelo TikTok informa que a vulnerabilidade foi corrigida e que a empresa está trabalhando para garantir a privacidade dos dados de seus usuários.
“A segurança e a privacidade da comunidade TikTok são nossa maior prioridade, e apreciamos o trabalho de parceiros de confiança como a Check Point na identificação de possíveis problemas para que possamos resolvê-los antes que afetem os usuários”, disse a empresa em um comunicado.
O chefe de pesquisa de vulnerabilidade do produto, Oded Vanunu, disse ao Bleeping Computer que essa vulnerabilidade é especialmente perigosa, pois um cibercriminoso com esse nível de informação pode realizar uma série de ataques maliciosos. “Nossa mensagem para os usuários do TikTok é compartilhar o mínimo possível no que diz respeito aos seus dados pessoais”.
“Continuamos fortalecendo nossas defesas, atualizando constantemente nossas capacidades internas, como investindo em defesas de automação, e também trabalhando com terceiros”, finaliza o porta-voz do ByteDance.
Fontes: Check Point Research; Bleeping Computer.
