Falha do TikTok deixou números de telefone e configurações de perfil abertos para invasores

O TikTok é um dos aplicativos de mídia social de compartilhamento de vídeos curtos mais populares que tem milhões de usuários em todo o mundo. Mas você ficará surpreso ao saber que uma vulnerabilidade recente deixou os dados privados dos usuários expostos aos invasores.

Notavelmente, de acordo com um relatório da CNET, pesquisadores de segurança da Check Point Research descobriram uma falha no aplicativo TikTok, que, se não corrigida, permitiria que um invasor asse o número de telefone e as configurações de perfil dos usuários.

As configurações de perfil do TikTok incluem o apelido, o perfil e as fotos do perfil do TikTok. Além disso, também consiste em IDs de usuário exclusivos, juntamente com informações confidenciais e privadas, como se um usuário é um seguidor ou se o perfil de um usuário está oculto.

Aparentemente, todas essas informações privadas, quando combinadas, podem ser usadas por um invasor para criar um banco de dados de usuários do TikTok para atividades maliciosas.

O porta-voz da Check Point, Ekram Ahmed, disse em comunicado que seu principal objetivo ao conduzir essa pesquisa de segurança no TikTok era explorar a privacidade do aplicativo.

Eles realizaram a verificação de segurança para saber se o aplicativo pode ser usado para ar dados privados do usuário. E para sua surpresa, uma falha no aplicativo TikTok os levou ao que eles pretendiam.

A falha ou vulnerabilidade foi encontrada no recurso “Encontrar amigos” do aplicativo TikTok

De acordo com o porta-voz da Check Point Research, a falha foi encontrada no recurso “Encontrar amigos” do aplicativo TikTok. O recurso Find Friends do TikTok sincroniza os contatos do usuário para se conectar com eles no TikTok.

Os pesquisadores de segurança conseguiram contornar vários mecanismos de proteção, o que acabou levando à violação de privacidade.

Os pesquisadores também explicaram o processo de descoberta dessa falha no aplicativo TikTok. Cada vez que um usuário inicia o aplicativo TikTok, ele solicita o registro do dispositivo, apenas para garantir que o usuário não esteja alternando entre os dispositivos.

Logo no processo de do SMS móvel, os servidores TikTok geram um token e cookies de sessão, para validar o registro. Observe que os cookies de sessão e os valores de token expiram após 60 dias. Isso também significa que qualquer pessoa pode usar os mesmos cookies para fazer por semanas.

Um invasor pode manipular facilmente o processo de ignorando a HTTP SMS do TikTok. O bom é que a Check Point Research já compartilhou suas descobertas com o ByteDance, o pai do aplicativo TikTok.

E uma nova atualização já está disponível para usuários do TikTok, que recomendamos instalar imediatamente em seus dispositivos. Oded Vanunu, chefe de pesquisa de vulnerabilidades de produtos da Check Point, aconselhou os usuários a compartilhar dados pessoais mínimos. Ele disse ainda para manter o aplicativo atualizado, para evitar tais contratempos.