TikTok resolve falhas de segurança que podiam expor os utilizadores da plataforma.

ByteDance, a empresa de tecnologia por trás do TikTok, corrigiu uma vulnerabilidade de segurança no serviço de partilha de vídeos que poderia ter permitido que invasores roubassem informações pessoais e privadas dos utilizadores remotamente.

A TikTok tem servidores locais nos países onde a aplicação móvel opera de forma a que os vídeos sejam entregues e reproduzidos com um baixo delay.

O TikTok tem mais de 1 bilhão de instalações de acordo com estatísticas da Google Play Store e também ultrapassou 2 bilhões de downloads em todas as plataformas móveis em abril de 2020, de acordo com estatísticas do Sensor Tower Store Intelligence.

 

Dados dos utilizadores expostos a potencial data breach

A vulnerabilidade de segurança encontrada pelos investigadores da Check Point no ‘Find Friends’ da TikTok permitiu que os criminosos contornassem as proteções de privacidade da plataforma, permitindo-lhes obter acesso às informações pessoais privadas dos utilizadores, incluindo, mas não se limitando a números de telefone e IDs de utilizador.

“Profile details that were accessible via the vulnerability include phone number, nickname, profile and avatar pictures, unique user IDs, as well as certain profile settings, such as whether a user is a follower or if user’s profile is hidden,” Check Point says.

 

Os detalhes dos utilizadores exfiltrados em ataques que tenham explorado essa vulnerabilidade do TikTok poderiam ser usados posteriormente para lançar ataques de spearphishing e outros tipos de atividades mal-intencionadas.

De acordo com os investigadores, para explorar esse falha e contornar as defesas de privacidade do TikTok, os criminosos teriam que:

  1. Create a list of devices (device IDs) that will be used for querying TikTok’s servers.
  2. Create a list of session tokens (each session token is valid for 60 days) that will be used for querying TikTok’s servers.
  3. Bypass TikTok’s HTTP message signing mechanism using their own signing service, executed in the background.
  4. Chain it all together by modifying  HTTP requests, resign them and use various session tokens and device IDs to bypass TikTok’s protection mechanisms.

 

 

O remendo da falha

ByteDance abordou a vulnerabilidade do TikTok após a divulgação da Check Point, bloqueando futuras tentativas de contornar o perimetro de segurança da TikTok e também como forma de salvaguardar a informação dos utilizadores da plataforma.

“An attacker with that degree of sensitive information could perform a range of malicious activities, such as spear phishing or other criminal actions,” Oded Vanunu, Head of Products Vulnerabilities Research said. “Our message to TikTok users is to share the bare minimum when it comes to your personal data.”

 

 

Previously patched vulnerabilities

  • In January 2020, TikTok addressed another batch of security vulnerabilities in its infrastructure disclosed by Check Point researchers in late November 2019 and allowing attackers to hijack accounts, manipulate users’ videos, and steal their info.
    To exploit those vulnerabilities, attackers could abuse TikTok’s SMS system which made it possible to delete videos, make users’ private videos public, and steal their sensitive personal data.
  • TikTok also fixed two security bugs in November 2020 that could have enabled hackers to take over the accounts of users who signed-up via third-party apps with a single click.
  • In April 2020, TikTok has launched a private bug bounty program and a HackerOne Bug Bounty Program in October 2020 encouraging security researchers to responsibly disclose any security bugs they find in TikTok’s mobile and web apps.