Falhas de segurança no TikTok permitiam envio de links e manipulação de perfis

Todo aplicativo absolutamente popular se torna um alvo preferencial para hackers, devido à quantidade de usuários e dados trafegando o tempo todo. Longe das preocupações governamentais quanto à privacidade e as relações com o governo chinês, entretanto, um grupo de pesquisadores da Check Point revelou nesta semana uma brecha significativa no TikTok, que permitia a manipulação de perfis e a extração de dados pessoais dos utilizadores.

• O TikTok está espionando você para o governo chinês? Ainda não há provas disso
• Não caia nessa: produtora alerta para golpe que promete beta de Cyberpunk 2077
• Hacker vaza dados de usuários do Vakinha e mais 18 serviços

São diferentes explorações que levam a resultados variados, envolvendo desde o envio de links maliciosos em nome da rede social até a exibição de avisos criados por criminosos dentro da interface da plataforma. Além disso, uma terceira brecha permitia realizar alterações nos perfis dos usuários, seja para publicar ou apagar vídeos ou alterar as configurações de privacidade em publicações já realizadas.

As brechas estão localizadas em diferentes pontos da estrutura da rede social, algo que, para os especialistas, deve ser o padrão de grandes explorações desse tipo. “A complexidade das infraestruturas de cloud computing tornam os ataques mais difíceis. Para obter sucesso, os hackers acabam combinando diferentes técnicas, ferramentas e métodos”, explica Oded Vanunu, diretor de pesquisas em vulnerabilidades e responsável por demonstrar as explorações durante a Black Hat, uma das principais conferências globais de segurança digital que, como quase tudo neste ano, acontece em formato digital.

O centro das vulnerabilidades está em um sistema de envio de SMS a partir do site oficial do TikTok, que, da forma como é usado oficialmente, levaria aos usuários do download do app. Essa exploração também dá origem à mais simples das brechas, com o atacante usando uma ferramenta de proxy para manipular a URL enviada e incluir links maliciosos em uma mensagem legítima da empresa. Aqui, é possível incitar a instalação de softwares mal intencionados ou levar os usuários a sites que simulem a aparência da rede social, mas exigem cadastros cujos dados são enviados a criminosos.

As outras explorações se aproveitam de falhas no sistema de deep links do TikTok, ou seja, a possibilidade de abrir páginas da web em um navegador do próprio software, bem como permitem a inserção de avisos em páginas internas. Em ambos os casos, as travas de segurança são um pouco maiores, mas não o bastante para impedirem um ataque — o aplicativo apenas abre URLs que contenham parâmetros específicos, envolvendo domínios da própria empresa. Ainda assim, entretanto, seria possível manipular os links.

Na demonstração, a Check Point utiliza uma URL legítima do TikTok, mas que inclui o redirecionamento para um site sob o controle dos especialistas. Aberto no aplicativo, ele não apenas libera o acesso como ainda pode enviar cookies do usuário, possivelmente entregando suas credenciais de acesso, ainda que em formato não acessível diretamente. No segundo caso, os pesquisadores foram capazes de exibir alertas manipulados aos usuários a partir de páginas de login ou ajuda, que também poderiam os redirecionar a sites maliciosos ou incitar a entrega de dados.

Manipulando perfis

A terceira brecha, e talvez a mais grave de todas, permite que um atacante realize ações diretas no perfil dos usuários. Utilizando requisições HTTP que regulam a troca de ordens entre aplicativos e servidores, um hacker seria capaz de apagar ou postar vídeos em nome de um usuário, bem como alterar a privacidade de clipes que, anteriormente, poderiam estar disponíveis apenas para amigos.

Cada postagem do TikTok tem uma ID específica e é a partir desse sistema que alguém seria capaz de alterar as páginas dos utilizadores sem o consentimento deles, a partir de uma manipulação da API do aplicativo. Algumas explorações exigem mais passos do que outras — postar um vídeo em nome de terceiros, por exemplo, requer a publicação do clipe, antes, em uma conta sob controle dos atacantes, enquanto ser aceito como amigo exige o envio de uma solicitação e ação rápida antes que o dono da própria conta possa negar o pedido. Tudo, novamente, utilizando SMSs enviadas a partir dos sistemas da própria rede social, que tragam os links manipulados que devem ser acessados pelas vítimas.

“Não são explorações muito sofisticadas e, para quem possui o conhecimento necessário, fica muito fácil manipular uma conta”, finalizou Vanunu, que chamou a atenção, ainda, para a possibilidade de exposição de dados pessoais dos usuários por meio da API. Utilizando requisições preparadas com códigos Java para burlar os mecanismos de segurança da rede social, os especialistas se viram capazes de obter registros como e-mails, datas de nascimento, informações de pagamento e demais informações que estivessem presentes em um perfil.

A principal dica para quem deseja se proteger envolve não apenas o TikTok, mas também quase todo tipo de aplicação mobile. O ideal é evitar clicar em links que cheguem por mensagens de texto, e-mails ou mensageiros instantâneos, principalmente quando elas não forem solicitadas pelos próprios usuários. Na dúvida quanto a uma comunicação ou alerta, o ideal é procurar a empresa responsável pelos próprios meios em vez de acessar sites que venham por meio de SMS ou comunicações diretas.

Felizmente, no final de tudo, as coisas parecem bem no reino do TikTok. Em pronunciamento enviado ao Canaltech, a rede social relata ter sido contatada pela Check Point antes da divulgação das vulnerabilidades, que foram todas corrigidas em atualizações do aplicativo. Além disso, segundo a empresa, não existem indícios de uso malicioso das brechas descobertas pelos especialistas ou violações aos dados dos usuários da plataforma.

Além disso, o TikTok afirmou estar comprometido com a proteção das informações de seus utilizadores e que incentiva os pesquisadores de segurança a divulgarem as falhas descobertas à equipe do aplicativo, para que possam ser corrigidas. A expectativa da empresa é que a boa experiência na solução das falhas reveladas nesta semana incentivem outros especialistas a fazerem o mesmo.

Fonte: Check Point