Falha no TikTok permite que hackers coloquem conteúdo falso em contas oficiais

Dois desenvolvedores de aplicativos móveis descobriram uma falha no TikTok. Realizado em um ambiente fechado, o teste dos especialistas permitiu que eles tirassem proveito de uma brecha de segurança simples para inserir conteúdos falsos sobre a COVID-19 em contas oficiais. Basicamente, vídeos com fake news tomaram o lugar do material real da conta.

A dupla de desenvolvedores é conhecida como “Mysk” e compartilhou a ação — que consiste basicamente de um ataque DNS — em seu blog e também em um vídeo:

Resumidamente, o TikTok ainda se vale do protocolo HTTP em seus vídeos e conexões. O padrão é antiquado e pouco seguro, e há muito já foi trocado pelo HTTPS, que estabelece conexões mais seguras. O par de hackers criou uma rede fechada para trocar vídeos publicados pela conta oficial da Organização Mundial de Saúde (OMS), postando material falso sobre a COVID-19, a doença que deriva do novo coronavírus, para um grupo de usuários previamente avisados que se tratava de um teste de segurança.

As informações postadas incluem boatos há muito desmentidos pela OMS, como um que dizia que “fumar mata o coronavírus” e outro que afirmava que “lavar as mãos em excesso causa câncer de pele”. Um terceiro ainda mencionava a hidroxicloroquina como um remédio definitivo para a cura do vírus, o que já se sabe não ser real já que a medicação está em testes e ainda não deve ser tomada sem o devido controle clínico.

Felizmente, os testes feitos em ambiente fechado tinham o intuito de informar a chinesa ByteDance para que eles possam corrigir o problema — identificado nos apps para iOS (versão 15.7.4) e Android (versão 15.5.6). Apesar do ataque ser executado em uma rede controlada e não expor o material falso ao mundo, é fácil perceber como uma vulnerabilidade tão simples pode ser aproveitada por pessoas com más intenções.

Até o momento, porém, a ByteDance não se manifestou sobre o caso.

Fonte: Mysk via Android Authority