Uma falha de segurança foi fechada pelo Tiktok após avaliação feita pelo Microsoft Defender Research, a qual fazia uso de um link malicioso para roubar contas de usuários da rede social de vídeos no Android.

Segundo a pesquisa, vítimas do golpe perderiam o controle de suas contas, e o hacker que executou o exploit poderia postar vídeos, comentários e mensagens pelo nome do usuário roubado, efetivamente fazendo uso de quase todos os recursos da rede social chinesa.

Imagem mostra várias linhas de código que explicam uma falha de segurança encontrada no Tiktok

Método identificado pela Microsoft permite o redirecionamento de links em falha de segurança no Tiktok (Imagem: Microsoft Defender Lab/Reprodução)

O Tiktok soltou um comunicado comentando o caso:

“Por meio de nossa parceria com os pesquisadores de segurança da Microsoft, nós descobrimos e rapidamente consertamos uma falha de segurança em algumas das versões mais antigas do nosso app para Android. Nós queremos agradecer aos pesquisadores pelo seu esforço em identificar problemas em potencial para que nós pudéssemos resolvê-los.”

Na Play Store, o Tiktok já ultrapassou a marca de 1,5 bilhão de downloads, mas felizmente não há relato de que a falha tenha sido explorada.

A Microsoft elogiou a velocidade com a qual o Tiktok atuou em cima do problema assim que foram comunicados. “Nós exaltamos a eficiência e profissionalismo da equipe”, disse Tanmay Ganacharya, diretor associado de pesquisa em segurança do Microsoft Defender.

Montagem mostra duas telas de erro de segurança no tiktok

Imagem: Microsoft Defender Lab/Reprodução

Entrando em termos técnicos, a falha de segurança afetava a capacidade de processamento de deep links no Tiktok. Essencialmente, um deep link é apenas uma URL que aponte a saída de um aplicativo para a entrada em outro – neste caso, estamos falando do botão no Tiktok que leva você aos perfis da pessoa em outras redes sociais, como Twitter ou Instagram.

Normalmente, o processamento de um deep link permite apenas a tomada de algumas ações quando clicado: por exemplo, abrir o Instagram a partir do perfil no Tiktok para seguir uma pessoa. O problema é que a brecha poderia permitir a hackers contornarem essa restrição.

Esse contorno lhes daria acesso a um token de autenticação de usuário que, uma vez obtido pelos hackers, lhes dariam o controle da conta mesmo sem eles terem a senha dela. A Microsoft executou um teste conceitual onde eles criaram uma conta e um link malicioso que, quando clicado, alterava a biografia dessa conta para “violação de segurança”, provando a vulnerabilidade.

via Microsoft Defender Research

Comentários

0

Please give us your valuable comment

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Inscrever-se
Notificar de
0 Comentários
Feedbacks embutidos
Ver todos os comentários