A Microsoft anunciou, nesta última quarta-feira (31), que identificou recentemente uma vulnerabilidade no TikTok, em sua versão Android. O app estava com as portas abertas, facilitando que hackers sequestrassem contas dos usuários se eles apertassem um simples e único botão de link errado.

A empresa disse que alertou o TikTok sobre o caso em fevereiro deste ano, e que a empresa chinesa corrigiu o erro, rastreado como CVE-2022-28799.

Esta vulnerabilidade estava enraizada no aplicativo na maneira como os deep links são verificados. Os deep links são hiperlinks específicos para o sistema Android e são usados para acessar setores isolados dentro de um aplicativo.

Leia mais:

publicidade

Um aplicativo também pode dizer a validade de um domínio URL de forma criptográfica. O TikTok para sistema Android, por exemplo, dita o domínio “m.tiktok.com”. Geralmente, essa rede social permite que o conteúdo do “tiktok.com” seja carregado no WebView, mas bloqueia o WebView de carregar conteúdo de outros domínios.

“A vulnerabilidade deixou que a verificação mais profunda do link do aplicativo fosse contornada. Os hackers poderiam forçar o aplicativo a carregar uma URL contrária para o WebView do aplicativo, permitindo então que a URL pudesse acessar as pontes JavaScript anexadas ao WebView e conceder algumas funcionalidades a eles”, afirmaram os pesquisadores.

 hacker tiktok
Imagem: PeachShutterStock/Shutterstock

“Uma vez que o link perigoso, que foi criado pelo hacker, é clicado pelo alvo, o servidor do invasor, https://www.attacker[.]com/poc, tem acesso total ao JavaScript e pode pegar qualquer funcionalidade exposta”, disseram. “O servidor do hacker volta para uma página HTML contendo código JavaScript para enviar tokens de upload de vídeo de volta ao invasor, assim como alterar a biografia do perfil do usuário”, concluíram.

A Microsoft também disse que não tem provas concretas de que a vulnerabilidade do TikTok tenha sido de fato explorada por terceiros.

Já assistiu aos novos vídeos no YouTube do Olhar Digital? Inscreva-se no canal!