Pesquisadores da empresa de segurança CheckPoint Research descobriram uma falha no TikTok que poderia expor dados pessoais, no caso os números de telefone, dos usuários. A falha só afetava aqueles que associaram um número de telefone com sua conta ou logaram-se usando um número de telefone, mas ainda assim representa um risco à privacidade.
O bug existia no recurso “Find friends” do TikTok que permite aos usuários sincronizar seus contatos com o serviço para identificar pessoas em potencial a serem seguidas. Os contatos são enviados ao TikTok através de uma solicitação HTTP na forma de uma lista, que contém nomes de contatos em hash e os números de telefone correspondentes.
Em seguida o aplicativo envia uma segunda solicitação HTTP que recupera os perfis TikTok conectados aos números de telefone enviados na solicitação anterior. Esta resposta inclui nomes de perfis, números de telefone, fotos e outras informações relacionadas ao perfil.
As solicitações de upload e sincronização de contatos são limitadas a 500 contatos por dia, por usuário e por dispositivo, mas os pesquisadores da Check Point encontraram uma maneira de contornar esta limitação obtendo o identificador do dispositivo e cookies de sessão definidos pelo servidor.
Depois, modificaram as solicitações HTTP e adicionaram uma assinatura atualizada, criando uma forma de automatizar o procedimento de upload e sincronização de contatos em larga escala e criar um banco de dados de contas e os números de telefone conectados a elas.
“Nossa principal motivação, desta vez, foi explorar a privacidade do TikTok”, disse Oded Vanunu, chefe da pesquisa de vulnerabilidades de produtos da Check Point. “Ficamos curiosos se a plataforma TikTok poderia ser usada para obter dados privados dos usuários. E a resposta foi positiva, pois fomos capazes de contornar múltiplos mecanismos de proteção da TikTok que levam à violação da privacidade”.
“Um malfeitor com tais informações privadas poderia realizar uma série de atividades maliciosas, tais como phishing, roubo de identidade e outras ações criminosas”, disse. “Nossa mensagem aos usuários do TikTok é a de que compartilhem o mínimo necessário quando se trata de seus dados pessoais”.
Falha no TikTok foi corrigida
A ByteDance, desenvolvedora do TikTok, corrigiu a vulnerabilidade, bloqueando futuras tentativas de driblar as proteções de privacidade da plataforma e roubar os dados privados dos usuários.
“A segurança e a privacidade da comunidade TikTok são nossa maior prioridade, e apreciamos o trabalho de parceiros de confiança como a Check Point na identificação de possíveis problemas para que possamos resolvê-los antes que afetem os usuários”, disse um porta-voz do TikTok em uma declaração.
“Continuamos a fortalecer nossas defesas, tanto atualizando constantemente nossas capacidades internas, como investindo em automação, além de trabalhar com terceiros”.
Fonte: Hacker News
Tags: