Falha de segurança no TikTok deixou utilizadores em risco – Techenet

A rede social TikTok continua nas bocas do mundo, estando envolvida em mais um escândalo que deixou milhões de utilizadores vulneráveis.

Publicidade
Loading…

Acompanha todas as notícias em tempo real! Segue o Techenet no Google News

De acordo com o mais relatório avançado pela agência Check Point, a falha de segurança estava presente desde o início de janeiro, deixando expostos vários dados privados dos utilizadores, tais como:

  • Número de telefone
  • Fotografias de perfil
  • Avatar
  • Nome de utilizador
  • Entre outros

Esta vulnerabilidade já foi comunicada aos responsáveis pelo TikTok, tendo sido já lançada uma atualização que a resolve. Por isso, é aconselhável que verifiques se tens a mais recente versão da aplicação no teu smartphone.

TikTok rede social perigo segurança

TikTok já conta com mais de 1 milhão e meio de utilizadores em Portugal

O TikTok tornou-se num verdadeiro fenómeno mundial ao longo dos últimos dois anos e, como seria de esperar, Portugal não foi exceção à regra

Ao longo do último ano a aplicação cresceu de forma exponencial também em território nacional, contando já com quase 2 milhões de utilizadores ativos.

Segue toda a atualidade tecnológica no Techenet através do FacebookInstagram e Twitter.

Lisboa, 26 de janeiro de 2021 – Investigadores da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), fornecedor líder especializado em cibersegurança a nível mundial, voltam a alertar para as fragilidades de segurança presentes na aplicação TikTok, rede social que tem vindo progressivamente a adquirir mais e mais utilizadores – em Portugal, já são mais de 1 milhão e meio.

A exploração da vulnerabilidade de segurança poderia resultar na partilha maliciosa de dados pessoais, como número de telefone, fotografias de perfil e avatar, nomes de utilizador, entre outros. A falha foi comunicada aos responsáveis pelo TikTok que, entretanto, já disponibilizaram uma atualização que a soluciona. 

Em janeiro, as condições de proteção de dados do TikTok foram pela primeira vez questionadas pela Check Point devido a problemas de segurança que permitiam um atacante aceder a contas alheias, podendo descarregar ou tornar vídeos públicos, bem como extrair informação pessoal.

Desta vez, a vulnerabilidade encontrada diz respeito à funcionalidade “Encontrar Amigos” que, deixada por atualizar, possibilitaria o acesso indesejado a detalhes de um perfil e ao número de telefone associado ao mesmo – detalhes pessoais que, agregados, poderão ser importantes na construção de uma base de dados a utilizar para atividades maliciosas.

Entre estes, constavam ainda o nome de utilizador único, a alcunha, fotografias de perfil e algumas definições de conta que determinam se um utilizador segue ou não outras contas, ou se o seu perfil é privado. 

Metodologia de exploração da vulnerabilidade no TikTok

  1. Criar uma lista dos dispositivos (IDs de dispositivos) que serão utilizados para consultar os servidores do TikTok.
  2. Criar uma lista de tokens de sessão (cada token de sessão é válido por 60 dias) que será utilizada para consultar os servidores do TikTok.
  3. Ignorar os mecanismos de subscrição por mensagem HTTP, utilizando antes um serviço próprio, executado em pano de fundo.
  4. Encadear tudo, modificando as solicitações HTTP, declinando-as e utilizando a vários tokens de sessão e IDs de dispositivo para contornar os mecanismos de proteção do TikTok.

Desta vez, a nossa motivação primária foi explorar a privacidade do TikTok. Estávamos curiosos para saber se a plataforma do TikTok poderia ser utilizada para aceder a dados privados dos utilizadores. Acontece que a resposta foi sim; foi-nos possível trespassar os múltiplos mecanismos de proteção do TikTok,” começa por afirmar Oded Vanunu, Head of Products Vulnerabilities Research da Check Point.

A vulnerabilidade poderia permitir a um atacante construir uma base de dados com detalhes sobre os utilizadores. Um agente malicioso com este grau de acesso a informações sensíveis pode levar a cabo uma série de atividades maliciosas, como o spear phishing ou outras. O nosso conselho para os utilizadores do TikTok é partilhar o mínimo, no que respeitam dados pessoais. Atualizem o vosso sistema operativo e todas as aplicações” conclui o responsável.

A Check Point Research, área de investigação da Check Point, partilhou devidamente as suas descobertas com a ByteDance, responsável pelo TikTok. Uma solução foi prontamente disponibilizada pelos programadores da aplicação, com vista a garantir que os seus utilizadores podem fazer uso da mesma de forma segura. 
O responsável pelo TikTok deixou ainda a seguinte consideração:

A segurança e privacidade da comunidade TikTok é a nossa maior prioridade, e agradecemos o trabalho de parceiros confiáveis como a Check Point na identificação de potenciais questões de segurança, já que só assim podemos resolvê-las antes de afetarem os utilizadores. Nós continuamos a fortalecer as nossas defesas, através do constante melhoramento das nossas capacidades internas, investindo em defesas automatizadas, e também por meio da colaboração com terceiros.”

Outros artigos interessantes:

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *