Confira os detalhes do anúncio de que a TikTok corrigiu bugs que permitem o controle da conta com um clique e outras correções.
TikTok é uma plataforma de mídia social de propriedade da ByteDance, sediada em Pequim, e é usada para compartilhar vídeos em dispositivos móveis em loop de formato curto de 3 a 60 segundos.
O aplicativo Android da TikTok tem atualmente mais de 1 bilhão de instalações de acordo com estatísticas oficiais da Google Play Store e ultrapassou a marca de 2 bilhões de instalações em todas as plataformas móveis em abril de 2020 com base nas estimativas do Sensor Tower Store Intelligence.
Agora, a empresa por trás do TikTok corrigiu duas vulnerabilidades que poderiam permitir que invasores assumissem contas com um único clique quando encadeados por usuários que se inscreveram por meio de aplicativos de terceiros.
TikTok corrigiu bugs que permitem o controle da conta com um clique
O caçador de recompensas alemão Muhammed Taskiran descobriu um bug de segurança de cross-site scripting (XSS) refletido – também conhecido como XSS não persistente – em um parâmetro de URL TikTok refletindo seu valor sem a limpeza adequada.
Taskiran encontrou o XSS refletido que também poderia ter levado à exfiltração de dados durante o teste de difusão dos domínios www.tiktok.com e m.tiktok.com da empresa.
Ele também descobriu um endpoint da API TikTok vulnerável a ataques de falsificação de solicitação entre sites (CSRF) que possibilitaram a alteração das senhas de contas de usuários que se inscreveram usando aplicativos de terceiros.
“O endpoint me permitiu definir uma nova senha em contas que usaram aplicativos de terceiros para se inscrever”, disse Taskiran.
“Combinei as duas vulnerabilidades criando uma carga simples de JavaScript – acionando o CSRF – que injetei no parâmetro de URL vulnerável anteriormente, para arquivar uma ‘aquisição de conta com um clique’.”
Taskiran relatou a cadeia de ataques de aquisição de conta à TikTok em 26 de agosto de 2020, com a empresa resolvendo os problemas e concedendo ao caçador uma recompensa de US$ 3.860 em 18 de setembro.
O TikTok também abordou um lote de vulnerabilidades de segurança em sua infraestrutura, permitindo que invasores em potencial sequestrassem contas para manipular os vídeos dos usuários e roubar suas informações.
Os problemas de segurança foram divulgados ao ByteDance pelos pesquisadores da Check Point no final de novembro de 2019, com a empresa corrigindo os bugs em um mês.
Os invasores podem ter usado o sistema SMS da TikTok para explorar as vulnerabilidades para enviar vídeos não autorizados e excluir, mover os vídeos dos usuários de privados para públicos e roubar dados pessoais confidenciais.
“A TikTok está comprometida em proteger os dados do usuário”, disse o engenheiro de segurança da TikTok, Luke Deshotels, na época. “Como muitas organizações, encorajamos pesquisadores de segurança responsáveis a divulgar em particular as vulnerabilidades de dia zero para nós”.