Segundo a equipe de pesquisa do Microsoft 365 Defender, um falha do TikTok no Android permite que hackers invadam contas.
A Microsoft encontrou e relatou uma falha de alta gravidade no aplicativo TikTok para Android em fevereiro que permitia que invasores “rapidamente e silenciosamente” assumissem contas com um clique, enganando os alvos para clicar em um link malicioso especialmente criado.
Falha do TikTok no Android permite que hackers invadam contas
Sim. A Microsoft afirma que uma falha do TikTok no Android permite que hackers invadam contas.
De acordo com Dimitrios Valsamaras, da equipe de pesquisa do Microsoft 365 Defender:
“Os invasores poderiam ter aproveitado a vulnerabilidade para sequestrar uma conta sem o conhecimento dos usuários se um usuário-alvo simplesmente clicasse em um link especialmente criado.”
“Os invasores podem ter acessado e modificado os perfis do TikTok e informações confidenciais dos usuários, como a divulgação de vídeos privados, o envio de mensagens e o upload de vídeos em nome dos usuários.”
Clicar no link expôs mais de 70 métodos JavaScript que podem ser abusados por um invasor com a ajuda de uma exploração projetada para sequestrar o WebView do aplicativo TikTok (um componente do sistema Android usado pelo aplicativo vulnerável para exibir conteúdo da Web).
Usando os métodos expostos, os agentes de ameaças podem acessar ou modificar as informações privadas dos usuários do TikTok ou realizar solicitações HTTP autenticadas.
Resumindo, os invasores que conseguiram explorar essa vulnerabilidade com sucesso poderiam facilmente:
- recuperou os tokens de autenticação dos usuários (acionando uma solicitação a um servidor sob seu controle e registrando o cookie e os cabeçalhos da solicitação)
- recuperou ou modificou os dados da conta TikTok dos usuários, incluindo vídeos privados e configurações de perfil (acionando uma solicitação para um endpoint TikTok e recuperando a resposta por meio do retorno de chamada JavaScript)
“Uma vulnerabilidade de seqüestro de WebView foi encontrada no aplicativo TikTok para Android por meio de um link direto não validado em um parâmetro não higienizado. Isso pode ter resultado no sequestro de conta por meio de uma interface JavaScript”, explica o relatório do HackerOne.
A vulnerabilidade de segurança, rastreada como CVE-2022-28799, agora foi corrigida desde o lançamento do TikTok versão 23.7.3, publicado menos de um mês após a divulgação inicial da Microsoft.
A Microsoft diz que ainda não encontrou evidências de que o CVE-2022-28799 esteja sendo explorado.
Os usuários do TikTok podem se defender de problemas semelhantes não clicando em links de fontes não confiáveis, mantendo seus aplicativos atualizados, instalando apenas aplicativos de fontes oficiais e relatando qualquer comportamento estranho do aplicativo o mais rápido possível.
Informações adicionais sobre como essa vulnerabilidade pode ter sido usada em ataques para controle de contas podem ser encontradas no relatório da Microsoft.
Em novembro de 2020, o TikTok corrigiu vulnerabilidades que permitiam que os agentes de ameaças sequestrassem rapidamente as contas de usuários que se inscreveram por meio de aplicativos de terceiros.
A empresa também abordou outras falhas de segurança que poderiam permitir que invasores roubassem informações pessoais dos usuários ou sequestrassem suas contas para manipular vídeos.
De acordo com sua entrada na Google Play Store, o aplicativo Android do TikTok tem mais de 1 bilhão de instalações.
Com base nas estimativas da Sensor Tower Store Intelligence, o aplicativo móvel já ultrapassou a marca de 2 bilhões de instalações em todas as plataformas desde abril de 2020.