Um problema no aplicativo do TikTok para o sistema operacional Android permitia o sequestro de contas com um link malicioso. Quem clicasse no endereço podia dar a hackers permissão para postar vídeos, mandar mensagens e editar detalhes do perfil. Centenas de milhões de usuários da rede social podem ter sido afetados.
Pesquisadores da equipe do 365 Defender, da Microsoft, revelaram os detalhes da vulnerabilidade nesta quarta-feira (31), classificarando o ataque como sendo "de alta gravidade". Eles informaram ao TikTok, que corrigiu o problema rapidamente. Felizmente, não há evidências de que o bug foi explorado.
Tecnologia, negócios e comportamento sob um olhar crítico.
Assine já o The BRIEF, a newsletter diária que te deixa por dentro de tudo
Maureen Shanahan, porta-voz da rede social, destacou a descoberta rápida do problema graças à parceria com os funcionários de segurança da Microsoft. “Agradecemos os pesquisadores da Microsoft por seus esforços para ajudar a identificar possíveis problemas para que possamos resolvê-los”, completou.
O impacto da vulnerabilidade no TikTok tinha um enorme potencial, já que afetou todas as variantes de aplicativos da plataforma para Android. Na Google Play Store, a rede social tem mais de 1,5 bilhão de downloads.
Como era o bug
A falha já foi corrigida pelo TikTok.Fonte: Shutterstock
Os pesquisadores de segurança da Microsoft explicaram que a vulnerabilidade afetava a funcionalidade de link direto dentro do app. Normalmente, há um processo de verificação para restringir ações executadas quando o aplicativo carrega o endereço.
No caso do bug no TikTok, os pesquisadores observaram a possibilidade de burlar esse processo e executar funções na plataforma. Uma delas permitia a recuperação de um token de autenticação vinculado a conta de um usuário.
Assim, o acesso ao perfil sem precisar de senha era permitido. Ao testar o ataque, os pesquisadores criaram um link malicioso. Quando era acessado, ele alterava a bio da conta para "Violação de Segurança".
Fontes
Categorias