As vulnerabilidades do TikTok em seu sistema de SMS permitem que invasores roubem informações pessoais

Pesquisadores de segurança descobriram várias vulnerabilidades do TikTok, de propriedade da ButeDance, com sede em Pequim, que permite que hackers em potencial sequestrem as contas dos usuários e manipulem os vídeos enviados e informações pessoais.

O TikTok é uma famosa plataforma de mídia social e o envolvimento de usuários de massa nessa plataforma agora. Durante as estatísticas de novembro, segundo estimativas da Sensor Tower Store Intelligence, ele possui mais de 500, 000, 000 instaladores no Google Play e mais de 1,5 bilhão na plataforma móvel. É usado para compartilhar vídeos móveis em loop de 3 a 60 segundos.

Os pesquisadores da Check Point declaram em um relatório que os aplicativos Tittok e seu back-end eram vulneráveis ​​a ataques. O ByteDance corrigindo a vulnerabilidade dentro de um mês após a divulgação dos problemas de segurança em novembro.

“Os dados são difundidos, mas as violações de dados estão se tornando uma epidemia, e nossas pesquisas mais recentes mostram que os aplicativos mais populares ainda estão em risco”, disse Oded Vanunu, chefe de pesquisa de vulnerabilidade de produtos da Check Point.

“Os aplicativos de mídia social são altamente direcionados para vulnerabilidades, pois fornecem uma boa fonte de dados particulares e oferecem um bom portão de superfície de ataque”.

Sistema de SMS vulnerável no TikTok

A CheckPoint afirmou que o sistema SMS do TikTok permite que ataques manipulem os dados da conta adicionando e excluindo vídeos, alterando as configurações de privacidade do vídeo e filtrando nomes de usuários, endereços de email, aniversários e outros dados pessoais relacionados aos usuários. De acordo com os pesquisadores da Check Point, os atacantes exploram as vulnerabilidades no sistema para enviar vídeos não autorizados e excluir os vídeos enviados, mover os vídeos dos usuários de privados para públicos e roubar informações pessoais.

Para executar essas ações maliciosas, os invasores podem enviar o link de download do aplicativo para os números de telefone dos usuários por meio de mensagens de texto, dando a impressão de serem provenientes do TikTok. Além disso, os usuários podem ser redirecionados para um servidor web controlado pelos invasores.

“O redirecionamento abre a possibilidade de realizar ataques de falsificação de solicitação entre sites (CSRF), script entre sites (XSS) e exposição sensível a dados sem o consentimento do usuário”.

“O TikTok está comprometido em proteger os dados do usuário. Como muitas organizações, incentivamos os pesquisadores de segurança responsáveis ​​a divulgar em particular as vulnerabilidades de dia zero”, disse Luke Deshotels, equipe de segurança do TikTok.

 Antes da divulgação pública, a CheckPoint concordou que essas vulnerabilidades estavam corrigidas na versão mais recente do aplicativo.

TikTok banido dos smartphones de questões governamentais dos soldados

As divulgações da pesquisa da Check Point ocorrem após a proibição do TikTok de ramos militares dos EUA, incluindo Exército, Marinha, Corpo de Fuzileiros Navais e Força Aérea.

“É considerado uma ameaça cibernética”, disse o porta-voz do Exército, tenente-coronel Robin Ochoa, “não permitimos isso em telefones do governo”.

“desconfie dos aplicativos que você baixa, monitora seus telefones em busca de textos não solicitados e não solicitados, etc., exclua-os imediatamente e desinstale o TikTok para evitar qualquer exposição de informações pessoais.”, novas diretrizes também para todos os funcionários do departamento de defesa.

Isso foi enviado posteriormente pelos senadores dos EUA Chuck Schumer e Tom Cotton em outubro “ao Diretor Interino de Inteligência Nacional, solicitando uma avaliação dos riscos à segurança nacional colocados pelo TikTok e outras plataformas de conteúdo baseadas na China operando nos EUA”.

Schumer também publicou um comunicado, dizendo que a investigação de segurança nacional do TikTok valida a preocupação dos senadores de que aplicativos como o TikTok possam representar sérios riscos para milhões de americanos e merecem maior escrutínio como resposta quando a Reuters informou que o governo dos EUA iniciou uma investigação sobre o TikTok. ByteDance, proprietária da TikTok, adquiriu o aplicativo social dos EUA musical.ly a partir de novembro de 2017 para possíveis riscos à segurança nacional.

Vanessa pappas, gerente geral da tiktok US, respondeu que toda a tiktok armazena os dados dos usuários nos EUA com redundância de backup em Cingapura. “Nossos data centers estão localizados inteiramente fora da China e nenhum de nossos dados está sujeito às leis chinesas”, disse ela no final de outubro.

“Os data centers da TikTok estão localizados inteiramente fora da China”. Ela também afirmou que a empresa tem “uma equipe técnica dedicada, focada em aderir a políticas robustas de segurança cibernética e práticas de privacidade e segurança de dados”. Foi o que os pappas reiteraram um mês depois.