Vulnerabilidades de segurança encontradas no app chinês de compartilhamento de vídeos curtos, TikTok, permitiam que invasores ignorassem as configurações de privacidade da plataforma e com isso acessassem dados pessoais e sigilosos de usuários.
- Mais uma no caso SolarWinds? SonicWall sofre ciberataque e investiga brechas em seus firewalls
- Fim do Flash interrompe sistema ferroviário na China
- Brave quer aposentar HTTP e criar uma web descentralizada com protocolo IPFS
As vulnerabilidades foram encontradas por pesquisadores da desenvolvedora israelense de segurança da informação, Check Point, em dezembro de 2019 e corrigidas agora, no final de janeiro.
Segundo os pesquisadores, as vulnerabilidades foram encontradas na ferramenta de encontrar amigos (“Find Friends”, dentro do app) e caso explorada poderia revelar números de telefone dos usuários que verificaram o número de telefone (o que não é obrigatório); nome de usuário; imagens, configurações e dados do perfil; além das listas de seguidores e usuários que o usuário está seguindo.
“Equipes da Check Point Research descobriram uma vulnerabilidade no recurso localizador de amigos do aplicativo móvel TikTok [...] Uma exploração bem-sucedida permitia que um invasor criasse um banco de dados de usuários e seus números de telefone relacionados”, escrevem os pesquisadores em um relatório publicado nesta terça-feira (26).
Os pesquisadores explicam que para realizar um ataque desses, os cibercriminosos deveriam criar uma lista de vítimas, com o ID dos usuários, criar uma lista de tokens de sessão, ignorar o mecanismo de assinatura de mensagens HTTP do TikTok e modificar as solicitações HTTP.
A ByteDance, empresa responsável pelo TikTok informa que a vulnerabilidade está corrigida e que a empresa está trabalhando para garantir a privacidade de dados de seus usuários.
“A segurança e privacidade da comunidade TikTok é nossa maior prioridade, e apreciamos o trabalho de parceiros confiáveis como a Check Point na identificação de possíveis problemas para que possamos resolvê-los antes que afetem os usuários", disse a empresa em um comunicado.
Já o chefe de pesquisa de vulnerabilidades de produtos, Oded Vanunu, disse ao Bleeping Computer, que essa vulnerabilidade é especialmente perigosa, já que um cibercriminoso com esse nível de informações pode realizar uma série de ataques maliciosos. "Nossa mensagem para os usuários do TikTok é compartilhar o mínimo possível quando se trata de seus dados pessoais”.
"Continuamos a fortalecer nossas defesas, atualizando constantemente nossas capacidades internas, como investindo em defesas de automação, e também trabalhando com terceiros”, conclui o porta-voz da ByteDance.
Fontes: Check Point Research; Bleeping Computer.