Se você é um dos mais de 1,5 bilhão de usuários do TikTok, atualize seu aplicativo o mais rápido possível. Segundo os pesquisadores de segurança da Check Point Research, algumas versões do app TikTok estão com algumas vulnerabilidades envolvendo SMS que permitem vários tipos de ataques de hackers que podem comprometer as informações pessoais armazenadas em seu telefone.
As vulnerabilidades envolvendo SMS do TikTok e os hackers
Atualmente, o TikTok é usado por mais de 700 milhões de usuários todos os meses. Portanto, isso o torna um alvo atraente para hackers que buscam seus dados pessoais. E como grande parte da audiência é composta por adolescentes, eles correm um risco ainda maior de se transformar em um pesadelo de privacidade.
De acordo com a Check Point Research, o popular aplicativo de compartilhamento de vídeos com sincronização labial tem várias vulnerabilidades. Estas tornam relativamente fácil para os invasores assumir o controle completo de sua conta, carregar ou remover vídeos e expor informações ou vídeos particulares que você pode ter definido como “escondido”.
As vulnerabilidades foram descobertas em novembro e afetam as versões do TikTok para Android e iOS, exceto a versão mais recente do aplicativo que foi corrigida.
Como funciona a invasão
Por exemplo, os pesquisadores notaram que a plataforma permite que os usuários recebam um link para baixar o aplicativo por meio de uma mensagem SMS que pode ser solicitada no site oficial. Mas esse mecanismo está longe de ser perfeito. Isso porque os pesquisadores rapidamente encontraram uma maneira de manipular o texto e o link de download nas mensagens para enviar comandos especiais ao aplicativo, se ele já estiver instalado no seu telefone. Além disso, eles poderiam usar esse buraco para enviar uma mensagem para qualquer número de telefone.
A partir daí, um invasor pode explorar bugs na configuração de redirecionamento do navegador para controlar sua conta e fazer algumas coisas. Por exemplo, ele pode seguir outras contas, obter informações pessoais como e-mail e tornar públicos vídeos privados. Por meio de algumas técnicas mais elaboradas de código JavaScript, o invasor pode até criar vídeos e publicá-los a partir da conta de terceiros.
O TikTok não é a única plataforma social em que o SMS é considerado como sendo uma brecha de segurança. No ano passado, o Twitter teve que desativar seu recurso de tweet-via-SMS após a conta do CEO Jack Dorsey ter sido invadida por uma vulnerabilidade nesse mecanismo baseado em nuvem.
Mais polêmicas do TikTok
A proprietária do TikTok, a empresa ByteDance, permanece sob escrutínio regulatório sobre seus supostos laços com a China. O aplicativo foi banido pelas forças armadas dos Estados Unidos e atualmente está sujeito a uma revisão de segurança nacional, motivo pelo qual a ByteDance está se esforçando para mudar suas operações para fora da China, enquanto mantém silêncio sobre tudo o que acontece nessa região.
Ainda assim, a Check Point diz que o TikTok foi rápido em responder quando foi notificado sobre as descobertas. Além disso, relatou que o app conseguiu corrigir as vulnerabilidades recém-descobertas até o final de dezembro.
Fonte: Tech Spot
