Falha no TikTok pode ter exposto usuários no ano passado; bug já foi corrigido

Por Wagner Wakka | 08 de Janeiro de 2020 às 10h00
Divulgação/TikTok

Uma falha de segurança do TikTok pode ter exposto usuários da rede social de vídeos que só cresce nos últimos tempos. Um novo estudo do Check Point, focado em análise de segurança na internet, mostrou que havia uma vulnerabilidade no programa que permitia o envio de comandos para o smartphone da vítima.

De acordo com os pesquisadores, o TikTok pode ser baixado por um sistema de SMS. O usuário deixa seu número de telefone no site oficial e recebe uma mensagem no smarthphone com um link para fazer o download do app.

Site permite que você mande SMS para smartphone para donwload do programa (Foto: Divulgação/Check Point)

O que eles descobriram é que esta mecânica poderia ser usada de forma maliciosa. Dentro do próprio site do TikTok, um bug permitia que uma pessoa enviasse SMS com textos e links modificados para os novos usuários. Com isso, seria possível infectar o aparelho da vítima e até mudar códigos do programa, publicando, excluindo ou tirando vídeos da aba de ocultos. Por fim, também seria possível descobrir endereço de e-mail e outras informações pessoais.

Segundo os pesquisadores, a companhia já havia sido avisada sobre o problema em novembro do ano passado. Com isso, foi criado um patch de segurança lançado em dezembro para resolver a falha. De acordo com a publicação da pesquisa, o TikTok foi solícito e ágil em corrigir a brecha, mas, apesar disso, ainda não é possível saber qual foi o real impacto deste bug.

A empresa passa por problemas atuais com os Estados Unidos ao ser considerada uma “possível ameaça” por conta da sua ligação com a China. O app é encabeçado pela ByteDance, empresa com sede em Pequim. Recentemente, o governo norte-americano impediu que militares da marinha e exército usassem o TikTok por ser visto como uma ameaça para segurança nacional. Apesar disso, não há indícios de que haja transição de informações do programa para o governo chinês, ou que o TikTok seja usado para espionagem política.

Empresa garante que não houve ataques

Em resposta ao problema, a empresa entrou em contato com o Canaltech informando sobre a análise do bug. Segundo o TikTok, não foram registrados ataques ou violação.

“O TikTok está comprometido em proteger os dados do usuário. Como muitas organizações, incentivamos pesquisadores de segurança responsáveis ​​a divulgar em particular as vulnerabilidades de dia zero para nós. Antes da divulgação pública, a CheckPoint concordou que todos os problemas relatados foram corrigidos na versão mais recente do nosso aplicativo. Esperamos que esta resolução bem-sucedida incentive a colaboração futura com pesquisadores de segurança", afirma Luke Deshotels, PhD, da equipe de segurança do TikTok. "Após uma análise dos registros de suporte ao cliente, podemos confirmar que não vimos nenhum padrão que indique um ataque ou violação".

Fonte: Check Point

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.