mobbip
uma-vulnerabilidade-de-alta-gravidade-do-tiktok-permitiu-o-sequestro-de-conta-com-um-clique.jpg

Uma vulnerabilidade de 'alta gravidade' do TikTok permitiu o sequestro de conta com um clique

Por Gabriel Bonne · 14 de setembro de 2022 01:00

Uma vulnerabilidade no aplicativo TikTok para Android poderia permitir que invasores assumissem qualquer conta que clicasse em um link malicioso, afetando potencialmente centenas de milhões de usuários da plataforma.

Os detalhes da exploração de um clique foram revelados hoje em uma postagem no blog de pesquisadores da equipe de pesquisa do 365 Defender da Microsoft. A vulnerabilidade foi divulgada ao TikTok pela Microsoft e desde então foi corrigida.

O bug e seu ataque resultante, rotulado de “vulnerabilidade de alta gravidade”, poderia ter sido usado para sequestrar a conta de qualquer usuário do TikTok no Android sem o seu conhecimento, uma vez que eles clicassem em um link especialmente criado. Depois que o link for clicado, o invasor terá acesso a todas as funções principais da conta, incluindo a capacidade de fazer upload e postar vídeos, enviar mensagens para outros usuários e visualizar vídeos privados armazenados na conta.

O impacto potencial foi enorme, pois afetou todas as variantes globais do aplicativo Android TikTok, que tem um total de mais de 1,5 bilhão de downloads na Google Play Store. No entanto, não há evidências de que foi explorado por maus atores.

“Por meio de nossa parceria com pesquisadores de segurança da Microsoft, descobrimos e corrigimos rapidamente uma vulnerabilidade em algumas versões mais antigas do aplicativo Android”, disse Maureen Shanahan, porta-voz do TikTok. “Agradecemos os pesquisadores da Microsoft por seus esforços para ajudar a identificar possíveis problemas para que possamos resolvê-los.”

A Microsoft confirmou que o TikTok respondeu prontamente ao relatório. “Demos a eles informações sobre a vulnerabilidade e colaboramos para ajudar a corrigir esse problema”, disse Tanmay Ganacharya, diretor de parceiros de pesquisa de segurança do Microsoft Defender for Endpoint, ao The Verge . “O TikTok respondeu rapidamente e elogiamos a resolução eficiente e profissional da equipe de segurança.”

De acordo com os detalhes publicados na postagem do blog, a vulnerabilidade afetou a funcionalidade de link direto do aplicativo Android. Essa manipulação de links diretos informa ao sistema operacional para permitir que determinados aplicativos processem links de uma maneira específica, como abrir o aplicativo do Twitter para seguir um usuário depois de clicar em um botão HTML “Seguir esta conta” incorporado em uma página da web.

Esse tratamento de link também inclui um processo de verificação que deve restringir as ações executadas quando um aplicativo carrega um determinado link. Mas os pesquisadores encontraram uma maneira de contornar esse processo de verificação e executar várias funções potencialmente armamentáveis ​​no aplicativo.

Uma dessas funções permite que eles recuperem um token de autenticação vinculado a uma determinada conta de usuário, concedendo efetivamente acesso à conta sem a necessidade de digitar uma senha. Em um ataque de prova de conceito, os pesquisadores criaram um link malicioso que, quando clicado, alterava a biografia de uma conta do TikTok para “VIOLAÇÃO DE SEGURANÇA”.

Felizmente, a vulnerabilidade foi detectada e a Microsoft aproveitou a oportunidade para enfatizar a importância da colaboração e coordenação entre plataformas de tecnologia e fornecedores.

“À medida que as ameaças entre plataformas continuam a crescer em número e sofisticação, divulgações de vulnerabilidades, resposta coordenada e outras formas de compartilhamento de inteligência de ameaças são necessárias para ajudar a proteger a experiência de computação dos usuários, independentemente da plataforma ou dispositivo em uso”, escreveu Dimitrios Valsamaras, da Microsoft. na postagem do blog. “Continuaremos a trabalhar com a comunidade de segurança maior para compartilhar pesquisas e informações sobre ameaças no esforço de construir uma melhor proteção para todos.”

Embora o aplicativo TikTok não tenha sofrido grandes hacks até agora, alguns críticos o classificaram como um risco de segurança por outros motivos.

Recentemente, surgiram preocupações sobre até que ponto os dados dos usuários dos EUA podem ser acessados ​​por engenheiros da ByteDance, empresa controladora do TikTok, baseados na China. Em julho, os líderes do Comitê de Inteligência do Senado pediram à presidente da FTC, Lina Khan, que investigasse o TikTok depois que relatórios questionaram alegações de que os dados dos usuários dos EUA foram isolados da filial chinesa da empresa.

Correção e atualização 31 de agosto, 14h35 ET: Uma versão anterior deste artigo dizia que o TikTok não respondeu no horário da publicação. De fato, o The Verge recebeu comentários, mas não o incluiu. Lamentamos o erro.

Correção 1º de setembro, 8h35 ET: Devido a um erro de edição, as linhas desta peça foram atribuídas erroneamente a um porta-voz do TikTok. A cotação já foi corrigida.

Traduzido de: https://www.theverge.com/2022/8/31/23329662/tiktok-vulnerability-microsoft-one-click-exploit-high-severity

Outras postagens

Como somar no Excel?
1 de outubro de 2022, 00:53 | TUTORIAISSaiba como somar no Excel de maneira simples e fácil
Download de musicas
29 de setembro de 2022, 23:03 | TUTORIAISTOP 6 melhores sites para baixar músicas grátis
Como consultar o número do NIS
27 de setembro de 2022, 18:15 | TUTORIAISSaiba como consultar o número do NIS
internet das coisas
25 de setembro de 2022, 03:18 | CURIOSIDADESO que é Internet das Coisas? Saiba como a tecnologia funciona!
Como criar um canal no Youtube
22 de setembro de 2022, 20:53 | TUTORIAISComo criar um canal no YouTube em 2022 [ATUALIZADO]
Onde assistir Naruto em 2022
20 de setembro de 2022, 20:28 | RECOMENDAÇÕESOnde assistir à série Naruto em 2022 [ATUALIZADO]
Melhores sites para assistir futebol
17 de setembro de 2022, 18:27 | RECOMENDAÇÕESTOP 5 melhores sites para assistir futebol ao vivo grátis em 2022
O que é inflação?
15 de setembro de 2022, 20:35 | CURIOSIDADESO que é inflação? Causas e consequências
mobbip
Sobre

O Mobbip é um portal criado para trazer informações e notícias sobre o universo da tecnologia, com uma base robusta com mais de 6 mil produtos, vamos trazer reviews, especificações técnicas e muitas outras informações para você sanar todas as dúvidas na hora de comprar.