Falha de segurança permitia o roubo de contas to Tiktok com apenas um clique
Brecha afetava a versão para Android do Tiktok e permitia que um hacker postasse vídeos, comentários e mensagens em nome de outra pessoaBy - Rafael Arbulu, 1 setembro 2022 às 11:03
Uma falha de segurança foi fechada pelo Tiktok após avaliação feita pelo Microsoft Defender Research, a qual fazia uso de um link malicioso para roubar contas de usuários da rede social de vídeos no Android.
Segundo a pesquisa, vítimas do golpe perderiam o controle de suas contas, e o hacker que executou o exploit poderia postar vídeos, comentários e mensagens pelo nome do usuário roubado, efetivamente fazendo uso de quase todos os recursos da rede social chinesa.
Método identificado pela Microsoft permite o redirecionamento de links em falha de segurança no Tiktok (Imagem: Microsoft Defender Lab/Reprodução)
O Tiktok soltou um comunicado comentando o caso:
“Por meio de nossa parceria com os pesquisadores de segurança da Microsoft, nós descobrimos e rapidamente consertamos uma falha de segurança em algumas das versões mais antigas do nosso app para Android. Nós queremos agradecer aos pesquisadores pelo seu esforço em identificar problemas em potencial para que nós pudéssemos resolvê-los.”
Na Play Store, o Tiktok já ultrapassou a marca de 1,5 bilhão de downloads, mas felizmente não há relato de que a falha tenha sido explorada.
A Microsoft elogiou a velocidade com a qual o Tiktok atuou em cima do problema assim que foram comunicados. “Nós exaltamos a eficiência e profissionalismo da equipe”, disse Tanmay Ganacharya, diretor associado de pesquisa em segurança do Microsoft Defender.
Imagem: Microsoft Defender Lab/Reprodução
Entrando em termos técnicos, a falha de segurança afetava a capacidade de processamento de deep links no Tiktok. Essencialmente, um deep link é apenas uma URL que aponte a saída de um aplicativo para a entrada em outro – neste caso, estamos falando do botão no Tiktok que leva você aos perfis da pessoa em outras redes sociais, como Twitter ou Instagram.
Normalmente, o processamento de um deep link permite apenas a tomada de algumas ações quando clicado: por exemplo, abrir o Instagram a partir do perfil no Tiktok para seguir uma pessoa. O problema é que a brecha poderia permitir a hackers contornarem essa restrição.
Esse contorno lhes daria acesso a um token de autenticação de usuário que, uma vez obtido pelos hackers, lhes dariam o controle da conta mesmo sem eles terem a senha dela. A Microsoft executou um teste conceitual onde eles criaram uma conta e um link malicioso que, quando clicado, alterava a biografia dessa conta para “violação de segurança”, provando a vulnerabilidade.
Comentários