Nos últimos dias, foi identificado um problema no aplicativo do TikTok para o sistema operacional Android. Por meio de um link malicioso, era feito o sequestro de contas dos usuários da rede.
Aqueles que clicassem no endereço podia dar a hackers permissão para postar vídeos, mandar mensagens e editar detalhes do perfil. Estima-se que milhões de usuários da rede social podem ter sido afetados.
Na quarta-feira (31), pesquisadores da equipe do 365 Defender, da Microsoft, revelaram os detalhes da vulnerabilidade, classificando o ataque como sendo “de alta gravidade”. Os profissionais informaram ao TikTok, que corrigiu o problema rapidamente. Felizmente, não há evidências de que o bug foi explorado.
Maureen Shanahan, porta-voz da rede social, destacou a descoberta rápida do problema se deu graças à parceria com os funcionários de segurança da Microsoft.
Agradecemos os pesquisadores da Microsoft por seus esforços para ajudar a identificar possíveis problemas para que possamos resolvê-los.
declarou Shanahan
Os pesquisadores explicaram que a vulnerabilidade afetava a funcionalidade de link direto dentro do app. Normalmente, há um processo de verificação para restringir ações executadas quando o aplicativo carrega o endereço.
Neste bug em específico, foi observado a possibilidade de burlar esse processo e executar funções na plataforma. Uma delas permitia a recuperação de um token de autenticação vinculado a conta de um usuário.
Com isso, o acesso ao perfil sem precisar de senha era permitido. Ao testar o ataque, os pesquisadores criaram um link malicioso. Quando era acessado, ele alterava a bio da conta para “Violação de Segurança”.
Entre em contato com a redação Money Crunch: [email protected]
Assine nossa newsletter
