28/01/2021

28/01/2021

Identificada falha de segurança no TikTok


Mais uma app com falhas de segurança, desta vez o TikTok.


A Check Point volta a alertar para uma potencial fragilidade presente na aplicação TikTok. Desta vez, a falha de segurança estaria relacionada com a funcionalidade “Encontrar Amigos”, a partir da qual os utilizadores podiam conectar-se entre si a partir da sua lista de contactos. As conclusões da Check Point foram devidamente comunicadas à ByteDance, empresa de tecnologia responsável pelo TikTok, que disponibilizou, de imediato, uma atualização.

 

No âmbito da sua investigação, a Check Point descreve a vulnerabilidade, traçando a metodologia segundo a qual a mesma funcionaria. A sua exploração por parte de agentes maliciosos poderia resultar na partilha indesejada de dados pessoais, como números de telefone, fotografias de perfil e avatar, nomes de utilizador, entre outros.

 

Para mais detalhes, consulte o comunicado de imprensa em anexo ou, se tiver interesse em falar com os responsáveis da Check Point Software, entre em contacto através do telefone 913 874 133 ou do email fernando.batista@doiton.agency.

 

Dados privados de utilizadores expostos por vulnerabilidade no TikTok

A funcionalidade “Encontrar Amigos” do TikTok, útil à conexão de utilizadores por meio da partilha de contactos telefónicos, apresentava uma vulnerabilidade que permitiria o acesso indesejado a informações pessoais

 

Lisboa, 26 de janeiro de 2021 – Investigadores da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), fornecedor líder especializado em cibersegurança a nível mundial, voltam a alertar para as fragilidades de segurança presentes na aplicação TikTok, rede social que tem vindo progressivamente a adquirir mais e mais utilizadores – em Portugal, já são mais de 1 milhão e meio. A exploração da vulnerabilidade de segurança poderia resultar na partilha maliciosa de dados pessoais, como número de telefone, fotografias de perfil e avatar, nomes de utilizador, entre outros. A falha foi comunicada aos responsáveis pelo TikTok que, entretanto, já disponibilizaram uma atualização que a soluciona.

 

Em janeiro, as condições de proteção de dados do TikTok foram pela primeira vez questionadas pela Check Point devido a problemas de segurança que permitiam um atacante aceder a contas alheias, podendo descarregar ou tornar vídeos públicos, bem como extrair informação pessoal. Desta vez, a vulnerabilidade encontrada diz respeito à funcionalidade “Encontrar Amigos” que, deixada por atualizar, possibilitaria o acesso indesejado a detalhes de um perfil e ao número de telefone associado ao mesmo – detalhes pessoais que, agregados, poderão ser importantes na construção de uma base de dados a utilizar para atividades maliciosas. Entre estes, constavam ainda o nome de utilizador único, a alcunha, fotografias de perfil e algumas definições de conta que determinam se um utilizador segue ou não outras contas ou se o seu perfil é privado.

 

Metodologia de exploração da vulnerabilidade

 

  1. Criar uma lista dos dispositivos (IDs de dispositivos) que serão utilizados para consultar os servidores do TikTok.
  2. Criar uma lista de tokens de sessão (cada token de sessão é válido por 60 dias) que será utilizada para consultar os servidores do TikTok.
  3. Ignorar os mecanismos de subscrição por mensagem HTTP, utilizando antes um serviço próprio, executado em pano de fundo.
  4. Encadear tudo, modificando as solicitações HTTP, declinando-as e utilizando a vários tokens de sessão e IDs de dispositivo para contornar os mecanismos de proteção do TikTok.

 

Desta vez, a nossa motivação primária foi explorar a privacidade do TikTok. Estávamos curiosos para saber se a plataforma do TikTok poderia ser utilizada para aceder a dados privados dos utilizadores. Acontece que a resposta foi sim; foi-nos possível trespassar os múltiplos mecanismos de proteção do TikTok,” começa por afirmar Oded Vanunu, Head of Products Vulnerabilities Research da Check PointA vulnerabilidade poderia permitir a um atacante construir uma base de dados com detalhes sobre os utilizadores. Um agente malicioso com este grau de acesso a informações sensíveis pode levar a cabo uma série de atividades maliciosas, como o spear phishing ou outras. O nosso conselho para os utilizadores do TikTok é partilhar o mínimo, no que respeitam dados pessoais. Atualizem o vosso sistema operativo e todas as aplicações” conclui o responsável.

 

A Check Point Research, área de investigação da Check Point, partilhou devidamente as suas descobertas com a ByteDance, responsável pelo TikTok. Uma solução foi prontamente disponibilizada pelos programadores da aplicação, com vista a garantir que os seus utilizadores podem fazer uso da mesma de forma segura.

 

O responsável pelo TikTok deixou ainda a seguinte consideração: “A segurança e privacidade da comunidade TikTok é a nossa maior prioridade, e agradecemos o trabalho de parceiros confiáveis como a Check Point na identificação de potenciais questões de segurança, já que só assim podemos resolvê-las antes de afetarem os utilizadores. Nós continuamos a fortalecer as nossas defesas, através do constante melhoramento das nossas capacidades internas, investindo em defesas automatizadas, e também por meio da colaboração com terceiros.” 

0 comments:

Publicar um comentário