Com apenas um clique, usuários do TikTok poderiam ser hackeados; entenda

Uma pesquisa realizada pela Microsoft descobriu que até pouco tempo atrás, o TikTok estava aberto a possíveis ataques hackers; saiba mais
Por Alanis Meira, editado por Daniel Junqueira 02/09/2022 13h54, atualizada em 09/09/2022 13h56
Ataque hacker causa grande interrupção em todo o NHS
Imagem: Rawpixel.com/Shutterstock
Compartilhe esta matéria
Ícone Whatsapp Ícone Whatsapp Ícone X (Tweeter) Ícone Facebook Ícone Linkedin Ícone Telegram Ícone Email

A Microsoft anunciou, nesta última quarta-feira (31), que identificou recentemente uma vulnerabilidade no TikTok, em sua versão Android. O app estava com as portas abertas, facilitando que hackers sequestrassem contas dos usuários se eles apertassem um simples e único botão de link errado.

A empresa disse que alertou o TikTok sobre o caso em fevereiro deste ano, e que a empresa chinesa corrigiu o erro, rastreado como CVE-2022-28799.

Esta vulnerabilidade estava enraizada no aplicativo na maneira como os deep links são verificados. Os deep links são hiperlinks específicos para o sistema Android e são usados para acessar setores isolados dentro de um aplicativo.

Leia mais:

Um aplicativo também pode dizer a validade de um domínio URL de forma criptográfica. O TikTok para sistema Android, por exemplo, dita o domínio “m.tiktok.com”. Geralmente, essa rede social permite que o conteúdo do “tiktok.com” seja carregado no WebView, mas bloqueia o WebView de carregar conteúdo de outros domínios.

“A vulnerabilidade deixou que a verificação mais profunda do link do aplicativo fosse contornada. Os hackers poderiam forçar o aplicativo a carregar uma URL contrária para o WebView do aplicativo, permitindo então que a URL pudesse acessar as pontes JavaScript anexadas ao WebView e conceder algumas funcionalidades a eles”, afirmaram os pesquisadores.

 hacker tiktok
Imagem: PeachShutterStock/Shutterstock

“Uma vez que o link perigoso, que foi criado pelo hacker, é clicado pelo alvo, o servidor do invasor, https://www.attacker[.]com/poc, tem acesso total ao JavaScript e pode pegar qualquer funcionalidade exposta”, disseram. “O servidor do hacker volta para uma página HTML contendo código JavaScript para enviar tokens de upload de vídeo de volta ao invasor, assim como alterar a biografia do perfil do usuário”, concluíram.

A Microsoft também disse que não tem provas concretas de que a vulnerabilidade do TikTok tenha sido de fato explorada por terceiros.

Já assistiu aos novos vídeos no YouTube do Olhar Digital? Inscreva-se no canal!

Redator(a)

Estagiária de redação do site Olhar Digital

Redator(a)

Daniel Junqueira é jornalista formado pela Universidade Metodista de São Paulo. Iniciou sua carreira cobrindo tecnologia em 2009. Atualmente, é repórter de Produtos e Reviews no Olhar Digital.