Os especialistas da Check Point encontraram muitos problemas numa das aplicações mais populares do mundo, TikTok. Recentemente, pesquisadores hackearam o aplicativo TikTok usando sms.
O TikTok está disponível em mais de 150 mercados, é usado em 75 idiomas em todo o mundo e tem mais de 1 bilhão de usuários. Em outubro 2019, TikTok foi considerado um dos aplicativos mais baixados do mundo.
Adolescentes e crianças usam o aplicativo principalmente para criar pequenos videoclipes.
“Nos últimos meses, vimos evidências dos riscos potenciais incorporados ao aplicativo TikTok, e isso também foi reconhecido por outros na indústria. De acordo com EUA hoje, a Marinha dos EUA proibiu o uso do aplicativo para seu pessoal, enquanto em um artigo do The Guardian, O democrata sênior Chuck Schumer diz que o “aplicativo TikTok representa um risco potencial à segurança nacional”. Além disso, o New York Times publicou que o TikTok está sob revisão de segurança nacional. Mais recentemente, CNet.com relatou que o Exército dos EUA proibiu o uso do TikTok em telefones do governo, revertendo sua política no aplicativo de entretenimento, que recentemente utilizou como ferramenta de recrutamento”, - escrever Especialistas em Check Point.
Então, saber o número de telefone da vítima, os invasores podem manipular contas de outras pessoas e obter acesso a dados pessoais. Na verdade, a combinação de diversas vulnerabilidades permitiu a execução remota de códigos maliciosos e ações indesejáveis em nome das vítimas e sem o seu consentimento.
Separadamente, todas as vulnerabilidades detectadas tinham baixo nível de perigo e estavam associadas à falsificação de links em mensagens SMS, abrir redirecionamentos, e XSS.
No entanto, em combinação, esses bugs permitiram que o invasor remoto executasse as seguintes ações:
- Remova todos os vídeos do perfil da vítima;
- Envie vídeos não autorizados para o perfil de sua vítima;
- Torne públicos os vídeos privados “ocultos”;
- Divulgar informações pessoais armazenadas na conta, incluindo endereços e e-mails.
Para realizar um ataque, especialistas usaram o sistema inseguro de envio de SMS que o TikTok oferece em seu site: os usuários poderiam enviar uma mensagem para seu número de telefone e obter um link para baixar o aplicativo.
“Como se viu, o invasor pode enviar uma mensagem SMS em nome do TikTok para qualquer número, colocando nesta mensagem uma URL especial que leva a uma página maliciosa projetada para executar código em um dispositivo com o aplicativo TikTok já instalado”, – diga no ponto de verificação.
Em combinação com problemas de redirecionamentos abertos e scripts entre sites, o ataque permitiu a execução de código JavaScript em nome da vítima, imediatamente após os usuários clicarem no link recebido via SMS.
Um vídeo de demonstração do ataque pode ser visto abaixo.
Check Point notificado ByteDança, o desenvolvedor do TikTok, sobre essas vulnerabilidades no final de novembro 2019, e um mês depois os desenvolvedores lançaram patches, corrigindo todos os problemas encontrados.
Só recentemente foi relatado que the ToTok Arab messenger turned out to be a project of the UAE special services para vigilância total de seus cidadãos e além. Que tipo de maldição “tok” é essa? Diga suspeito a qualquer aplicativo com a palavra “Tok” no nome.
