Segurança

Falha de segurança permitia o roubo de contas to Tiktok com apenas um clique

Brecha afetava a versão para Android do Tiktok e permitia que um hacker postasse vídeos, comentários e mensagens em nome de outra pessoa

By - Rafael Arbulu, 1 setembro 2022 às 11:03

Uma falha de segurança foi fechada pelo Tiktok após avaliação feita pelo Microsoft Defender Research, a qual fazia uso de um link malicioso para roubar contas de usuários da rede social de vídeos no Android.

Segundo a pesquisa, vítimas do golpe perderiam o controle de suas contas, e o hacker que executou o exploit poderia postar vídeos, comentários e mensagens pelo nome do usuário roubado, efetivamente fazendo uso de quase todos os recursos da rede social chinesa.

Imagem mostra várias linhas de código que explicam uma falha de segurança encontrada no Tiktok

Método identificado pela Microsoft permite o redirecionamento de links em falha de segurança no Tiktok (Imagem: Microsoft Defender Lab/Reprodução)

O Tiktok soltou um comunicado comentando o caso:

“Por meio de nossa parceria com os pesquisadores de segurança da Microsoft, nós descobrimos e rapidamente consertamos uma falha de segurança em algumas das versões mais antigas do nosso app para Android. Nós queremos agradecer aos pesquisadores pelo seu esforço em identificar problemas em potencial para que nós pudéssemos resolvê-los.”

Na Play Store, o Tiktok já ultrapassou a marca de 1,5 bilhão de downloads, mas felizmente não há relato de que a falha tenha sido explorada.

A Microsoft elogiou a velocidade com a qual o Tiktok atuou em cima do problema assim que foram comunicados. “Nós exaltamos a eficiência e profissionalismo da equipe”, disse Tanmay Ganacharya, diretor associado de pesquisa em segurança do Microsoft Defender.

Montagem mostra duas telas de erro de segurança no tiktok

Imagem: Microsoft Defender Lab/Reprodução

Entrando em termos técnicos, a falha de segurança afetava a capacidade de processamento de deep links no Tiktok. Essencialmente, um deep link é apenas uma URL que aponte a saída de um aplicativo para a entrada em outro – neste caso, estamos falando do botão no Tiktok que leva você aos perfis da pessoa em outras redes sociais, como Twitter ou Instagram.

Normalmente, o processamento de um deep link permite apenas a tomada de algumas ações quando clicado: por exemplo, abrir o Instagram a partir do perfil no Tiktok para seguir uma pessoa. O problema é que a brecha poderia permitir a hackers contornarem essa restrição.

Esse contorno lhes daria acesso a um token de autenticação de usuário que, uma vez obtido pelos hackers, lhes dariam o controle da conta mesmo sem eles terem a senha dela. A Microsoft executou um teste conceitual onde eles criaram uma conta e um link malicioso que, quando clicado, alterava a biografia dessa conta para “violação de segurança”, provando a vulnerabilidade.

via Microsoft Defender Research

Android cibersegurança falha de segurança hacker microsoft microsoft defender segurança TikTok vulnerabilidade

Comentários

0

Please give us your valuable comment

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Subscribe
Notify of
0 Comentários
Inline Feedbacks
View all comments

Matérias relacionadas

TikTok confirma que funcionários da China têm acesso aos dados de usuários dos EUA

“Deficiências graves e negligência”, denuncia ex-executivo do Twitter sobre segurança da plataforma

Deepfake expõe falha de segurança em aplicações de reconhecimento facial

Veja Também

Segurança

Dados privados de população brasileira podem ter sido expostos novamente em vazamento
Imagem representativa mostra biscoitos (ou "cookies") em cima de um teclado de computador, em referência aos arquivos de navegação de internet dos usuários
Privacidade

Google já começou a desabilitar cookies de terceiros no Chrome
Logotipo da rede social Facebook
Tecnologia

Histórico de links: Facebook vai armazenar sites visitados pelos usuários para alimentar publicidade direcionada
Softwares

Google paga US$ 5 bi para pôr fim à ação coletiva por rastrear usuários no modo Incognito