Check Point descobre vulnerabilidade no TikTok que expõe dados de milhões de usuários

A funcionalidade "Encontrar Amigos" do TikTok apresentava uma vulnerabilidade que permitiria o acesso indesejado a informações pessoais
TikTok

A funcionalidade “Encontrar Amigos” do TikTok apresentava uma vulnerabilidade que permitiria o acesso indesejado a informações pessoais

A Check Point Research (CPR), braço de Inteligência em Ameaças da Check Point® Software Technologies Ltd . (, uma fornecedora líder de soluções de cibersegurança global, descobriu uma vulnerabilidade no recurso “Find Friends” ou “Encontrar Amigos” do TikTok que contornou suas proteções de privacidade.

Participe do nosso grupo no Telegram ou Whatsapp!

Se não fosse corrigida, a vulnerabilidade teria permitido a um atacante acessar os detalhes de perfil de um usuário (nome, número de telefone, foto, avatar, identificações exclusivas e até configurações) tornando possível construir um banco de dados para uso em atividades maliciosas. A falha foi comunicada aos responsáveis pelo TikTok que já disponibilizaram uma atualização que soluciona essa vulnerabilidade.

Em janeiro de 2020 , as condições de proteção de dados do TikTok foram pela primeira vez questionadas pela Check Point devido a problemas de segurança que permitiam um atacante acessar informações pessoais salvas nas contas de um usuário, podendo descarregar ou tornar vídeos públicos, bem como extrair dados pessoais ou realizar ações em nome de um usuário sem seu consentimento.

Desta vez, a vulnerabilidade encontrada diz respeito à funcionalidade “Encontrar Amigos” que, se não fosse atualizada, possibilitaria o acesso indesejado a detalhes de um perfil e ao número de telefone associado ao mesmo. Com isso, os dados pessoais seriam importantes na construção de uma base de informações a ser utilizada para atividades maliciosas.

Siga nosso stories no Instagram é receba em primeira mão notícias como essa!

Entre estas informações constavam ainda o nome de usuário único, fotografias de perfil e algumas definições de conta que determinam se um usuário segue ou não outras contas ou se o seu perfil é privado.

Metodologia de exploração da vulnerabilidade do TikTok

• O cibercriminoso cria uma lista dos dispositivos (IDs de dispositivos) que serão utilizados para consultar os servidores do TikTok.

• Cria uma lista de tokens de sessão (cada token de sessão é válido por 60 dias) que também serão utilizados para consultar os servidores do TikTok.

• Ignora os mecanismos de subscrição por mensagem HTTP, utilizando antes um serviço próprio, executado em segundo plano.

• Une todos esses elementos para modificar as solicitações HTTP, declinando-as e utilizando vários tokens de sessão e IDs de dispositivo para contornar os mecanismos de proteção do TikTok.

“Desta vez, nossa principal motivação foi explorar a privacidade do TikTok. Estávamos interessados em saber se a plataforma do TikTok poderia ser utilizada para acessar os dados privados dos usuários. E a resposta foi sim; pois, fomos capazes de nos esquivar de vários mecanismos de proteção do TikTok que levam à violação de privacidade”, explica Oded Vanunu, chefe de pesquisa de vulnerabilidades de produtos da Check Point Software Technologies.

“A vulnerabilidade permitiria que um atacante construísse um banco de dados detalhado do usuário. Um atacante com esse grau de informações confidenciais poderia executar uma série de atividades maliciosas, como spear phishing ou outras ações criminosas. Nossa recomendação aos usuários do TikTok é compartilhar o mínimo de dados quando se trata de informações pessoais, além de atualizar seu sistema operacional e aplicativos para as versões mais recentes”, ressalta Vanunu.

A equipe da CPR, divisão Inteligência em Ameaças da Check Point, compartilhou devidamente suas descobertas com a ByteDance, responsável pelo TikTok. Uma solução foi prontamente disponibilizada pelos desenvolvedores do aplicativo, de modo a garantir que os seus usuários podem fazer uso de forma segura.

Os responsáveis pelo TikTok destacaram que “a segurança e privacidade da comunidade TikTok é a nossa maior prioridade, e agradecemos o trabalho de parceiros confiáveis como a Check Point na identificação de potenciais questões de segurança, já que só assim podemos resolvê-las antes de afetarem os usuários”.

“Nós continuamos fortalecendo as nossas defesas por meio do constante aprimoramento das nossas capacidades internas, investindo em proteções automatizadas, e também mediante a colaboração com terceiros”, finaliza a equipe do TikTok.

A Check Point conta com soluções contra ameaças móveis avançadas, como o SandBlast Mobile, uma solução com infraestrutura de proteção de rede que, ao revisar e controlar todo o tráfego de rede no dispositivo, evita ataques de roubo de informações em todos os aplicativos, e-mail, SMS, iMessage e aplicativos de mensagens instantâneas. Esta solução também impede o acesso a sites maliciosos, bem como o acesso e a comunicação do dispositivo com botnets.

Deixe seu comentário e faça como os mais de 2.000 leitores do tecflow, clique no sino azul e tenha nossas notícias em primeira mão! Você também pode seguir o tecflow no Google News e conferir artigos como este! 

Marciel

Formado em jornalismo, o editor atua há mais de 10 anos cobrindo notícias referente ao mercado B2B. Porém, apesar de toda a Transformação Digital, ainda prefere ouvir música em disco de vinil.

Deixe comentário

Seu endereço de e-mail não será publicado. Os campos necessários são marcados com *.

Mais acessados

Dicas e Tutoriais

SmartPhones & Tablets

Mercado & Tecnologia

Consoles e Games

Ciência & Espaço

Eventos

Quem Somos

Tecflow é um website focado em notícias sobre tecnologia com resenhas, artigos, tutoriais, podcasts, vídeos sobre tech, eletrônicos de consumo e mercado B2B.

Siga Tecflow em:

Parceiro Autthentic

error: Content is protected !!