A Check Point descobriu que Falhas do TikTok poderiam permitir que hackers acessassem os vídeos dos usuários ou até fazer algo pior. Entenda o perigo dessa ameaça.
Também conhecido como Douyin na China, o TikTok é um aplicativo de mídia para criar e compartilhar vídeos curtos que recentemente tem se tornado muito famoso.
Agora, a empresa de pesquisa de segurança cibernética Check Point Research diz que encontrou “múltiplas vulnerabilidades” no aplicativo de compartilhamento de vídeo TikTok, que demonstrou sua insegurança como escrutínio para a empresa chinesa continua a crescer.
Falhas do TikTok poderiam permitir que hackers acessassem os vídeos dos usuários
A Check Point descobriu que era possível falsificar mensagens de texto para que parecessem vir do TikTok.
Depois que um usuário clica no link falso, um hacker poderá acessar partes de sua conta TikTok, incluindo o upload e a exclusão de vídeos e a alteração das configurações de vídeos existentes, de pública para privada.
A Check Point também descobriu que a infraestrutura do TikTok permitiria que um hacker redirecionasse um usuário invadido para um site malicioso que se parecia com a página inicial do TikTok.
Isso poderia ter sido combinado com scripts entre sites e outros ataques à conta do usuário.
O envio de links e outras informações seguras por SMS é uma preocupação de segurança bem conhecida e um método favorito para os cibercriminosos que desejam acessar os telefones dos usuários.
Em 2014, o Gabinete do Comissário da Informação do Reino Unido multou um promotor de concerto em mais de U$$ 100.000 por enviar mensagens de texto falsificadas a pessoas que pareciam vir de suas mães.
A Anistia Internacional documentou em 2018 como os hackers poderiam contornar as salvaguardas de autenticação de dois fatores do Gmail e do Yahoo interceptando códigos de confirmação 2FA via mensagem SMS.
A Check Point diz que notificou a empresa controladora da TikTok sobre as vulnerabilidades de segurança em novembro, e o aplicativo corrigiu o problema.
Em comunicado, Luke Deshotels, membro da equipe de segurança do TikTok, disse o seguinte:
“O TikTok está comprometido em proteger os dados do usuário. Como muitas organizações, incentivamos pesquisadores de segurança responsáveis a divulgar em particular as vulnerabilidades de dia zero para nós. Antes da divulgação pública, a Check Point concordou que todos os problemas relatados foram corrigidos na versão mais recente do nosso aplicativo. Esperamos que esta resolução bem-sucedida incentive a colaboração futura com pesquisadores de segurança.”
Oded Vanunu, principal pesquisador do relatório da Check Point, disse que um aplicativo como o TikTok – que está perto de 1,5 bilhão de usuários globais em apenas dois anos e meio desde o lançamento fora da China – é um alvo maduro para hackers, devido à quantidade de dados e informações potencialmente privadas sendo transferidas.
Como aplicativos como o TikTok podem ser usados em várias plataformas, é mais fácil para um ator mal-intencionado aumentar sua atividade rapidamente, disse ele.
Em entrevista ao The Verge, Vanunu disse o seguinte:
“Vemos grandes quantidades de atividades maliciosas em mensagens instantâneas e redes sociais. O que estamos tentando garantir que as pessoas entendam é que o espaço cibernético é algo que não apenas inicia e termina em uma plataforma sofisticada, mas que, se você estiver no espaço cibernético, mesmo para atividades do dia a dia, seus dados e privacidade estão em risco.”
E não são apenas os aplicativos mais novos, como o TikTok, vulneráveis a ataques, acrescentou Vanunu.
“Mesmo para aplicativos veteranos, eles não são mais ou menos vulneráveis, mas há potencialmente muito mais oportunidades, pois eles têm tantos usuários.”
O TikTok é de propriedade da empresa chinesa ByteDance. O Comitê de Investimentos Estrangeiros nos Estados Unidos diz que o aplicativo pode apresentar preocupações de segurança nacional para os americanos e possivelmente ser usado para influenciá-los ou monitorá-los.
O Exército dos EUA impediu os soldados de usar o aplicativo TikTok em telefones públicos, chamando-o de ameaça cibernética.
Vanunu disse que a pesquisa da Check Point não abordou se o TikTok apresentava preocupações específicas de segurança nacional, mas que não era difícil tirar certas conclusões com base no que encontrou.
“Você pode ligar os pontos sobre quais poderiam ser as implicações para a guerra cibernética geopolítica”, disse ele.
Falhas do TikTok permite que hackers substituam seus vídeos virais
Mas as falhas do TikTok não pararam por aí. Uma descoberta recente dos desenvolvedores Tommy Mysk e Talal Haj Bakry, revela que uma vulnerabilidade na popular plataforma de mídia social TikTok pode permitir que hackers substituam os vídeos dos usuários por vídeos falsos.
A dupla de desenvolvedores publicou suas descobertas em um post no blog em que explica que algumas práticas inseguras seguidas pelo TikTok abriram uma brecha para os atacantes.
Assim como outros aplicativos de mídia social, o TikTok também usa uma CDN (Content Delivery Network) para transferir quantidades gigantescas de vídeos e outros dados pela Internet rapidamente. No entanto, no caso da TikTok, sua CDN usa uma conexão HTTP menos segura para melhorar o desempenho.
É um fato conhecido que um intermediário, seja um invasor, um governo ou um ISP, pode facilmente decifrar o tráfego HTTP. Como resultado, uma pessoa mal-intencionada pode acessar toda a coleção de vídeos de um usuário do TikTok, seu histórico de exibição e quais vídeos ele baixa.
O invasor pode até substituir vídeos por falsos ou de outras contas verificadas do TikTok, alertam os desenvolvedores.
Para apoiar suas alegações, Mysk e Bakry criaram uma prova de conceito em que inseriram um vídeo de desinformação sobre coronavírus na conta oficial do TikTok da Organização Mundial da Saúde (OMS).
No entanto, antes de você se preocupar, o truque não espalhou nenhuma notícia falsa na Internet porque nenhuma alteração foi feita nos servidores oficiais do TikTok.
O que os desenvolvedores fizeram aqui foi enganar o aplicativo TikTok (instalado em um dispositivo conectado à rede Wi-Fi doméstica) e enviar solicitações ao servidor personalizado, projetado para imitar as CDNs do TikTok.
Portanto, assumindo o controle do roteador presente entre o aplicativo TikTok e as CDNs do TikTok, os desenvolvedores podem visualizar e inserir o que quiserem.
Tudo o que eles precisam fazer é alterar as informações do registro DNS no roteador, fazendo com que o aplicativo se redirecione sempre para o servidor falso.
No entanto, isso não significa que nenhum dano possa ser causado. “Se um servidor DNS popular fosse invadido para incluir um registro DNS corrompido, como mostramos anteriormente, informações enganosas, notícias falsas ou vídeos abusivos seriam visualizados em larga escala, e isso não é completamente impossível”, explicaram os desenvolvedores em seu post .
Os concorrentes do TikTok usam HTTPS
Mysk também analisou o tráfego de outros concorrentes de alto nível do TikTok, incluindo YouTube, Instagram, Facebook e descobriu que quase todo o tráfego passava por conexões HTTPS.
“Eles têm traços HTTP ZERO. Eles transferem todos os seus dados usando HTTPS”, disse ele ao Mashable.
A Apple e o Google determinaram o uso de conexões HTTPS para aplicativos Android e iOS. No entanto, eles permitem algumas exceções devido a motivos de compatibilidade. Parece que o TikTok fez bom uso dele.
Em suma, não usar protocolos de segurança padrão do setor é mais uma mudança idiota de um aplicativo que se espalhou como fogo. Para colocar as coisas em contexto, o TikTok tem mais de 800 milhões de usuários ativos mensais.
A popular plataforma de mídia social já deixa muitas pessoas de orelha em pé, porque a sua base é a China, um país muito conhecido por suas ameaças digitais e alto controle governamental, bem como apoio a grupos hackers.
Ainda assim, ele consegue se apresentar como uma ameaça a gigantes como o YouTube, que é conhecido por estar trabalhando em uma alternativa ao TikTok.
No início deste ano, o TikTok foi criticado por supostamente suprimir vídeos de usuários com deficiência e por uma vulnerabilidade que poderia expor vídeos particulares.
Além disso, o aplicativo também foi rotulado como spyware pelo CEO do Reddit, Jack Steve Huffman.
E você? O que acha? Deixe sua opinião nos comentários!
- Como instalar o jogo AstroMenace no Linux via Flatpak
- Como instalar o jogo Biplanes Revival no Linux via Flatpak
- Instalando o simulador de corridas Speed Dreams no Linux
- Como instalar o jogo de corrida SuperTuxKart no Linux