Uma vulnerabilidade grave no TikTok permite o sequestro de contas com um clique
Hackers poderiam ter usado a vulnerabilidade para postar vídeos, enviar mensagens, e alterar o perfil das contas
Uma vulnerabilidade no aplicativo TikTok para Android pode permitir que Hackers tenham o controle de qualquer conta que clicar num link malicioso, o que pode afetar milhões de usuários da plataforma.
Detalhes desta vulnerabilidade foram reveladas numa postagem no blog do time de pesquisadores do Microsoft 365 Defender. A vulnerabilidade foi divulgada para o TikTok pela Microsoft, e desde então foi corrigida.
O Bug e a consequência da sua exploração, chamada de “Vulnerabilidade de alta Gravidade”, poderia ter sido usada para ganhar o controle de qualquer conta de usuário do TikTok para Android sem seu conhecimento, caso ele clicasse no link malicioso. Depois que o link for clicado, o hacker poderia ter acesso a todas as funções principais da conta, incluindo o recurso de fazer upload e postagens de vídeos, enviar mensagens para outros usuários, e assistir a vídeos privados armazenados na conta.
O Potencial impacto seria enorme, pois a vulnerabilidade afetou todas as versões Globais do aplicativo TikTok para Android, o qual tem um total de mais de 1,5 bilhão de downloads na Google Play Store. Contudo, não há evidências de que algum hacker explorou a vulnerabilidade.
“Por meio de nossa parceria com a equipe de pesquisadores de segurança da Microsoft, nós descobrimos e corrigimos a vulnerabilidade em algumas versões antigas do aplicativo para Android”, disse Maureen Shanahan, porta-voz do TikTok. Nós agradecemos aos pesquisadores da Microsoft e seus esforços por nos ajudar a identificar possíveis problemas e então podermos resolvê-los.
A Microsoft confirmou que o TikTok respondeu prontamente ao alerta. “Nós demos a eles informações sobre a vulnerabilidade e colaboramos para ajudar a corrigir a este problema”, disse Tanmay Ganacharya, diretor de parceria de pesquisa e segurança do Microsoft Defender Endpoint.
De acordo com detalhes publicados na postagem do Blog, a vulnerabilidade afetou a funcionalidade link direto do aplicativo para Android. Essa manipulação do link direto diz ao sistema operacional para permitir que determinados aplicativos processem os links de uma maneira específica, como abrir o aplicativo do Twitter para seguir um usuário após clicar num botão HTML “Siga esta Conta” incorporada numa página Web.
Esta manipulação do link também inclui um processo de verificação que deveria ser restrita às ações executadas quando uma aplicação carrega um determinado link. Mas os pesquisadores encontraram uma forma de “pular” este processo de verificação e executar um número de funções potencialmente perigosas dentro do aplicativo.
Uma dessas funções permite a eles que recuperem um token de autenticação vinculado a uma determinada conta de usuário, garantindo efetivamente o acesso à conta sem a necessidade de inserir uma senha. Em um ataque de teste, os pesquisadores criaram um link malicioso que, quando clicado, alterava o nome de uma conta do TikTok para “Violação de Segurança”.
Felizmente a vulnerabilidade foi detectada e a Microsoft aproveitou a oportunidade para enfatizar a importância da colaboração e coordenação entre plataformas de tecnologia e fornecedores.
“Como as ameaças através das plataformas continuam a crescer em número e sofisticação, a divulgação dessas vulnerabilidades, resposta coordenada e outras formas de compartilhamento de inteligência em ameaças são necessárias para ajudar na segurança da experiência de computação do usuário, independente da plataforma ou dispositivo em uso”, escreveu Dimitrios Valsamaras na postagem do Blog da Microsoft. “Nós iremos continuar trabalhando com a grande comunidade de segurança para compartilhar pesquisas e informações sobre ameaças no esforço de construir uma melhor proteção para todos.”
Embora não se saiba de grandes ataques ao aplicativo TikTok até agora, alguns críticos tem o classificado como um risco de segurança por outras razões.
Recentemente surgiram preocupações até que ponto os dados de usuários americanos podem ser acessados por engenheiros chineses da ByteDance, empresa responsável pelo TikTok. Em Julho, os líderes do Comitê de Inteligência do Senado chamaram a presidente da FTC, Lina Khan, para investigar o TikTok depois que relatórios questionaram as alegações de que os dados dos usuários americanos foram isolados da filial chinesa da empresa.