A Check Point Research, braço de Inteligência em Ameaças da Check Point revelou hoje que descobriu várias vulnerabilidades no TikTok que poderiam ter permitido que ataques manipulassem o conteúdo dos usuários e até extrair informações pessoais confidenciais salvas nessas contas.
O TikTok é usado principalmente por adolescentes e crianças que usam esse aplicativo para compartilhar, salvar e manter vídeos privados (e às vezes muito sensíveis) de si mesmos e de seus entes queridos. A pesquisa descobriu que um atacante pode enviar uma mensagem SMS falsificada para um usuário que contém um link malicioso. Ao clicar no link malicioso, o usuário permitiu que o atacante conseguisse acesso a conta TikTok e manipular seu conteúdo excluindo vídeos, enviando vídeos não autorizados e divulgando vídeos privados ou “ocultos”.
A pesquisa também apontou que o subdomínio do Tiktok, https://ads.tiktok.com, estava vulnerável a ataques XSS, um tipo de ataque no qual scripts maliciosos são injetados em sites confiáveis. Os pesquisadores da Check Point aproveitaram essa vulnerabilidade para recuperar informações pessoais salvas em contas de usuário, incluindo endereços de e-mail particulares e datas de nascimento.
A Check Point Research informou os responsáveis do TikTok sobre as vulnerabilidades expostas nesta pesquisa e uma correção foi implementada para garantir que seus usuários possam continuar usando o aplicativo com segurança.
“Os dados são difundidos, mas a coleta dos mesmos está se tornando uma epidemia, e nossas pesquisas mais recentes mostraram que os aplicativos mais populares ainda estão em risco”, diz Oded Vanunu, chefe de pesquisa de vulnerabilidade de produtos da Check Point. “Os aplicativos de mídia social são altamente direcionados para vulnerabilidades, pois fornecem uma boa fonte de dados privados e oferecem um bom portão de superfície de ataque. Atores maliciosos estão gastando grandes quantias de dinheiro e se esforçando muito para penetrar em aplicativos tão grandes. No entanto, a maioria dos usuários assume que estão protegidos pelo aplicativo que estão usando.”
Luke Deshotels, PhD, da Equipe de segurança do TikTok, informa que: “O TikTok está comprometido em proteger os dados do usuário. Como muitas organizações, incentivamos pesquisadores de segurança responsáveis a divulgar em particular as vulnerabilidades de dia zero para nós. Antes da divulgação pública, a Check Point concordou que todos os problemas relatados foram corrigidos na versão mais recente do nosso aplicativo. Esperamos que esta resolução bem-sucedida incentive a colaboração futura com pesquisadores de segurança “.
Disponível em mais de 150 mercados, usado em 75 idiomas em todo o mundo e com mais de 1 bilhão de usuários, o TikTok é definitivamente um dos aplicativos mais baixados. Desde outubro de 2019 é o aplicativo mais baixado nos Estados Unidos, tornando-o o primeiro aplicativo chinês a alcançar esse recorde.
