A funcionalidade "Encontrar
Amigos" do TikTok apresentava uma vulnerabilidade que permitiria o acesso
indesejado a informações pessoais
A
Check Point Research (CPR), braço de Inteligência em Ameaças da Check Point® Software Technologies Ltd . (NASDAQ: CHKP), uma fornecedora líder de soluções de
cibersegurança global, descobriu uma vulnerabilidade no recurso "Find
Friends" ou "Encontrar Amigos" do TikTok que contornou suas
proteções de privacidade. Se não fosse corrigida, a vulnerabilidade teria
permitido a um atacante acessar os detalhes de perfil de um usuário (nome,
número de telefone, foto, avatar, identificações exclusivas e até
configurações) tornando possível construir um banco de dados para uso em
atividades maliciosas. A falha foi comunicada aos responsáveis pelo TikTok que
já disponibilizaram uma atualização que soluciona essa vulnerabilidade.
Em janeiro de 2020 , as condições de proteção de dados do TikTok foram
pela primeira vez questionadas pela Check Point devido a problemas de segurança
que permitiam um atacante acessar informações pessoais salvas nas contas de um
usuário, podendo descarregar ou tornar vídeos públicos, bem como extrair dados
pessoais ou realizar ações em nome de um usuário sem seu consentimento. Desta
vez, a vulnerabilidade encontrada diz respeito à funcionalidade "Encontrar
Amigos" que, se não fosse atualizada, possibilitaria o acesso indesejado a
detalhes de um perfil e ao número de telefone associado ao mesmo. Com isso, os
dados pessoais seriam importantes na construção de uma base de informações a
ser utilizada para atividades maliciosas. Entre estas informações constavam
ainda o nome de usuário único, fotografias de perfil e algumas definições de
conta que determinam se um usuário segue ou não outras contas ou se o seu
perfil é privado.
Metodologia de exploração da vulnerabilidade
• O cibercriminoso cria uma lista dos dispositivos (IDs de dispositivos) que serão utilizados para consultar os servidores do TikTok.
•
Cria uma lista de tokens de sessão (cada token de sessão é válido por 60 dias)
que também serão utilizados para consultar os servidores do TikTok.
•
Ignora os mecanismos de subscrição por mensagem HTTP, utilizando antes um
serviço próprio, executado em segundo plano.
•
Une todos esses elementos para modificar as solicitações HTTP, declinando-as e
utilizando vários tokens de sessão e IDs de dispositivo para contornar os
mecanismos de proteção do TikTok.
"Desta
vez, nossa principal motivação foi explorar a privacidade do TikTok. Estávamos
interessados em saber se a plataforma do TikTok poderia ser utilizada para
acessar os dados privados dos usuários. E a resposta foi sim; pois, fomos
capazes de nos esquivar de vários mecanismos de proteção do TikTok que levam à
violação de privacidade", explica Oded Vanunu, chefe de pesquisa de
vulnerabilidades de produtos da Check Point Software Technologies. "A
vulnerabilidade permitiria que um atacante construísse um banco de dados
detalhado do usuário. Um atacante com esse grau de informações confidenciais
poderia executar uma série de atividades maliciosas, como spear phishing
ou outras ações criminosas. Nossa recomendação aos usuários do TikTok é
compartilhar o mínimo de dados quando se trata de informações pessoais, além de
atualizar seu sistema operacional e aplicativos para as versões mais
recentes", ressalta Vanunu.
A
equipe da CPR, divisão Inteligência em Ameaças da Check Point, compartilhou
devidamente suas descobertas com a ByteDance, responsável pelo TikTok. Uma
solução foi prontamente disponibilizada pelos desenvolvedores do aplicativo, de
modo a garantir que os seus usuários podem fazer uso de forma segura.
Os
responsáveis pelo TikTok destacaram que "a segurança e privacidade da
comunidade TikTok é a nossa maior prioridade, e agradecemos o trabalho de
parceiros confiáveis como a Check Point na identificação de potenciais questões
de segurança, já que só assim podemos resolvê-las antes de afetarem os
usuários". "Nós continuamos fortalecendo as nossas defesas por meio
do constante aprimoramento das nossas capacidades internas, investindo em
proteções automatizadas, e também mediante a colaboração com terceiros", finaliza
a equipe do TikTok.
A
Check Point conta com soluções contra ameaças móveis avançadas, como o
SandBlast Mobile, uma solução com infraestrutura de proteção de rede que, ao revisar e controlar todo o tráfego de rede no
dispositivo, evita ataques de roubo de informações em todos os aplicativos,
e-mail, SMS, iMessage e aplicativos de mensagens instantâneas. Esta solução
também impede o acesso a sites maliciosos, bem como o acesso e a comunicação do
dispositivo com botnets.
Check
Point Software Technologies Ltd.
https://www.checkpoint.com/pt/
https://research.checkpoint.com/
https://twitter.com/_cpresearch_
https://blog.checkpoint.com/
https://www.twitter.com/checkpointsw
https://www.facebook.com/checkpointsoftware
https://www.youtube.com/user/CPGlobal
https://www.linkedin.com/company/check-point-software-technologies
Nenhum comentário:
Postar um comentário