Informações pessoais, como endereços particulares e endereços de e-mail, estavam vulneráveis à exposição em um dos aplicativos mais populares do mundo
A Check Point Research, braço de Inteligência em Ameaças da Check Point fornecedora líder mundial de soluções de segurança cibernética, revelou hoje que descobriu várias vulnerabilidades no TikTok que poderiam ter permitido que ataques manipulassem o conteúdo dos usuários e até extrair informações pessoais confidenciais salvas nessas contas.
O TikTok é usado principalmente por adolescentes e crianças que usam esse aplicativo para compartilhar, salvar e manter vídeos privados (e às vezes muito sensíveis) de si mesmos e de seus entes queridos. A pesquisa descobriu que um atacante pode enviar uma mensagem SMS falsificada para um usuário que contém um link malicioso. Ao clicar no link malicioso, o usuário permitiu que o atacante conseguisse acesso a conta TikTok e manipular seu conteúdo excluindo vídeos, enviando vídeos não autorizados e divulgando vídeos privados ou “ocultos”.
A pesquisa também apontou que o subdomínio do Tiktok, https://ads.tiktok.com, estava vulnerável a ataques XSS, um tipo de ataque no qual scripts maliciosos são injetados em sites confiáveis. Os pesquisadores da Check Point aproveitaram essa vulnerabilidade para recuperar informações pessoais salvas em contas de usuário, incluindo endereços de e-mail particulares e datas de nascimento.
A Check Point Research informou os responsáveis do TikTok sobre as vulnerabilidades expostas nesta pesquisa e uma correção foi implementada para garantir que seus usuários possam continuar usando o aplicativo com segurança.
“Os dados são difundidos, mas a coleta dos mesmos está se tornando uma epidemia, e nossas pesquisas mais recentes mostraram que os aplicativos mais populares ainda estão em risco”, diz Oded Vanunu, chefe de pesquisa de vulnerabilidade de produtos da Check Point. “Os aplicativos de mídia social são altamente direcionados para vulnerabilidades, pois fornecem uma boa fonte de dados privados e oferecem um bom portão de superfície de ataque. Atores maliciosos estão gastando grandes quantias de dinheiro e se esforçando muito para penetrar em aplicativos tão grandes. No entanto, a maioria dos usuários assume que estão protegidos pelo aplicativo que estão usando.”
Luke Deshotels, PhD, da Equipe de segurança do TikTok, informa que: “O TikTok está comprometido em proteger os dados do usuário. Como muitas organizações, incentivamos pesquisadores de segurança responsáveis a divulgar em particular as vulnerabilidades de dia zero para nós. Antes da divulgação pública, a Check Point concordou que todos os problemas relatados foram corrigidos na versão mais recente do nosso aplicativo. Esperamos que esta resolução bem-sucedida incentive a colaboração futura com pesquisadores de segurança “.
Disponível em mais de 150 mercados, usado em 75 idiomas em todo o mundo e com mais de 1 bilhão de usuários, o TikTok é definitivamente um dos aplicativos mais baixados. Desde outubro de 2019 é o aplicativo mais baixado nos Estados Unidos, tornando-o o primeiro aplicativo chinês a alcançar esse recorde.
Mais informações sobre a pesquisa estão disponíveis no blog da Check Point Research.
Sobre a Check Point Software Technologies Ltd.
A Check Point Software Technologies Ltd. (www.checkpoint.com/pt/) é um fornecedor líder em soluções de cibersegurança para governos e empresas privadas globalmente. As suas soluções protegem os clientes contra ciberataques de 5ª geração (Gen V) com um índice de captura líder de mercado de malware, ransomware e outros tipos de ataques.
Check Point divulga Índice Global de Ameaças de Maio de 2019(Abre numa nova aba do navegador)