A funcionalidade “Encontrar Amigos” do TikTok, útil à conexão de utilizadores por meio da partilha de contactos telefónicos, apresentava uma vulnerabilidade que permitiria o acesso indesejado a informações pessoais
Investigadores da Check Point® Software Technologies Ltd, voltam a alertar para as fragilidades de segurança presentes na aplicação TikTok, rede social que tem vindo progressivamente a adquirir mais e mais utilizadores – em Portugal, já são mais de 1 milhão e meio.
A exploração da vulnerabilidade de segurança poderia resultar na partilha maliciosa de dados pessoais, como número de telefone, fotografias de perfil e avatar, nomes de utilizador, entre outros.
A falha foi comunicada aos responsáveis pelo TikTok que, entretanto, já disponibilizaram uma actualização que a soluciona.
Em janeiro, as condições de protecção de dados do TikTok foram pela primeira vez questionadas pela Check Point devido a problemas de segurança que permitiam um atacante aceder a contas alheias, podendo descarregar ou tornar vídeos públicos, bem como extrair informação pessoal.
Amigos desavindos?
Desta vez, a vulnerabilidade encontrada diz respeito à funcionalidade “Encontrar Amigos” que, deixada por actualizar, possibilitaria o acesso indesejado a detalhes de um perfil e ao número de telefone associado ao mesmo – detalhes pessoais que, agregados, poderão ser importantes na construção de uma base de dados a utilizar para actividades maliciosas.
Entre estes, constavam ainda o nome de utilizador único, a alcunha, fotografias de perfil e algumas definições de conta que determinam se um utilizador segue ou não outras contas ou se o seu perfil é privado.
Metodologia de exploração da vulnerabilidade
- Criar uma lista dos dispositivos (IDs de dispositivos) que serão utilizados para consultar os servidores do TikTok.
- Criar uma lista de tokens de sessão (cada token de sessão é válido por 60 dias) que será utilizada para consultar os servidores do TikTok.
- Ignorar os mecanismos de subscrição por mensagem HTTP, utilizando antes um serviço próprio, executado em pano de fundo.
- Encadear tudo, modificando as solicitações HTTP, declinando-as e utilizando a vários tokens de sessão e IDs de dispositivo para contornar os mecanismos de proteção do TikTok.
“Desta vez, a nossa motivação primária foi explorar a privacidade do TikTok. Estávamos curiosos para saber se a plataforma do TikTok poderia ser utilizada para aceder a dados privados dos utilizadores.
Acontece que a resposta foi sim; foi-nos possível trespassar os múltiplos mecanismos de proteção do TikTok,” começa por afirmar Oded Vanunu, Head of Products Vulnerabilities Research da Check Point.
“A vulnerabilidade poderia permitir a um atacante construir uma base de dados com detalhes sobre os utilizadores.
Um agente malicioso com este grau de acesso a informações sensíveis pode levar a cabo uma série de atividades maliciosas, como o spear phishing ou outras.
O nosso conselho para os utilizadores do TikTok é partilhar o mínimo, no que respeitam dados pessoais.
Actualizem o vosso sistema operativo e todas as aplicações” conclui o responsável.
Solução já existe
A Check Point Research, área de investigação da Check Point, partilhou devidamente as suas descobertas com a ByteDance, responsável pelo TikTok.
Uma solução foi prontamente disponibilizada pelos programadores da aplicação, com vista a garantir que os seus utilizadores podem fazer uso da mesma de forma segura.
O responsável pelo TikTok deixou ainda a seguinte consideração: “A segurança e privacidade da comunidade TikTok é a nossa maior prioridade, e agradecemos o trabalho de parceiros confiáveis como a Check Point na identificação de potenciais questões de segurança, já que só assim podemos resolvê-las antes de afetarem os utilizadores.
Nós continuamos a fortalecer as nossas defesas, através do constante melhoramento das nossas capacidades internas, investindo em defesas automatizadas, e também por meio da colaboração com terceiros.”
