A Check Point Research informou nesta quarta-feira, 8, que detectou diferentes vulnerabilidades no aplicativo TikTok (Android, iOS). A pesquisa, realizada pelo braço de Inteligência em Ameaças da fornecedora de soluções de segurança cibernética, mostra que hackers poderiam manipular conteúdo dos usuários e extrair informações pessoais, como endereços de e-mail.
Segundo a empresa, um atacante poderia enviar uma mensagem SMS contendo um link malicioso para um usuário que, ao clicar, estaria permitindo ao atacante acesso à conta TikTok e manipular seu conteúdo, excluindo vídeos, enviando vídeos não autorizados e divulgando vídeos privados ou ocultos.
A pesquisa também apontou que o subdomínio do TikTok https://ads.tiktok.com estava vulnerável a ataques XSS, no qual scripts maliciosos são injetados em sites confiáveis. A vulnerabilidade permitiu que os pesquisadores da Check Point recuperassem informações pessoais salvas em contas de usuários, incluindo endereços de e-mail particulares e datas de nascimento.
A Check Point entrou em contato com o TikTok e a correção já foi feita.
Atualização em 9 de janeiro: Em comunicado enviado a Mobile Time, Luke Deshotels, PhD da equipe de segurança do TikTok, comentou o assunto: “O TikTok está comprometido em proteger os dados do usuário. Como muitas organizações, incentivamos pesquisadores de segurança responsáveis ??a divulgar em particular as vulnerabilidades de dia zero para nós. Antes da divulgação pública, a CheckPoint concordou que todos os problemas relatados foram corrigidos na versão mais recente do nosso aplicativo. Esperamos que esta resolução bem-sucedida incentive a colaboração futura com pesquisadores de segurança. Após uma análise dos registros de suporte ao cliente, podemos confirmar que não vimos nenhum padrão que indique um ataque ou violação”.
