Dados privados de utilizadores expostos por vulnerabilidade no TikTok

Investigadores da Check Point voltam a alertar para as fragilidades de segurança presentes na aplicação TikTok, rede social que tem vindo progressivamente a adquirir mais e mais utilizadores – em Portugal, já são mais de 1 milhão e meio. A exploração da vulnerabilidade de segurança poderia resultar na partilha maliciosa de dados pessoais, como número de telefone, fotografias de perfil e avatar, nomes de utilizador, entre outros.

A falha foi comunicada aos responsáveis pelo TikTok que, entretanto, já disponibilizaram uma atualização que a soluciona.

Em janeiro, as condições de proteção de dados do TikTok foram pela primeira vez questionadas pela Check Point devido a problemas de segurança que permitiam um atacante aceder a contas alheias, podendo descarregar ou tornar vídeos públicos, bem como extrair informação pessoal.

Desta vez, a vulnerabilidade encontrada diz respeito à funcionalidade “Encontrar Amigos” que, deixada por atualizar, possibilitaria o acesso indesejado a detalhes de um perfil e ao número de telefone associado ao mesmo – detalhes pessoais que, agregados, poderão ser importantes na construção de uma base de dados a utilizar para atividades maliciosas. Entre estes, constavam ainda o nome de utilizador único, a alcunha, fotografias de perfil e algumas definições de conta que determinam se um utilizador segue ou não outras contas ou se o seu perfil é privado.

Metodologia de exploração da vulnerabilidade

  1. Criar uma lista dos dispositivos (IDs de dispositivos) que serão utilizados para consultar os servidores do TikTok.
  2. Criar uma lista de tokens de sessão (cada token de sessão é válido por 60 dias) que será utilizada para consultar os servidores do TikTok.
  3. Ignorar os mecanismos de subscrição por mensagem HTTP, utilizando antes um serviço próprio, executado em pano de fundo.
  4. Encadear tudo, modificando as solicitações HTTP, declinando-as e utilizando a vários tokens de sessão e IDs de dispositivo para contornar os mecanismos de proteção do TikTok.

Desta vez, a nossa motivação primária foi explorar a privacidade do TikTok. Estávamos curiosos para saber se a plataforma do TikTok poderia ser utilizada para aceder a dados privados dos utilizadores. Acontece que a resposta foi sim; foi-nos possível trespassar os múltiplos mecanismos de proteção do TikTok,” começa por afirmar Oded Vanunu, Head of Products Vulnerabilities Research da Check Point

A vulnerabilidade poderia permitir a um atacante construir uma base de dados com detalhes sobre os utilizadores. Um agente malicioso com este grau de acesso a informações sensíveis pode levar a cabo uma série de atividades maliciosas, como o spear phishing ou outras. O nosso conselho para os utilizadores do TikTok é partilhar o mínimo, no que respeitam dados pessoais. Atualizem o vosso sistema operativo e todas as aplicações” conclui o responsável.

A Check Point Research, área de investigação da Check Point, partilhou devidamente as suas descobertas com a ByteDance, responsável pelo TikTok. Uma solução foi prontamente disponibilizada pelos programadores da aplicação, com vista a garantir que os seus utilizadores podem fazer uso da mesma de forma segura.

O responsável pelo TikTok deixou ainda a seguinte consideração: “A segurança e privacidade da comunidade TikTok é a nossa maior prioridade, e agradecemos o trabalho de parceiros confiáveis como a Check Point na identificação de potenciais questões de segurança, já que só assim podemos resolvê-las antes de afetarem os utilizadores. Nós continuamos a fortalecer as nossas defesas, através do constante melhoramento das nossas capacidades internas, investindo em defesas automatizadas, e também por meio da colaboração com terceiros.”

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui