TikTok corrige falha de segurança que permitia roubo de contas no Android
Por Felipe Demartini | Editado por Claudio Yuge | 01 de Setembro de 2022 às 14h20
O TikTok corrigiu uma falha crítica de segurança em seu aplicativo para Android, que permitia o roubo de contas dos usuários após um simples clique em um link malicioso. A brecha foi descoberta em fevereiro pela Microsoft e poderia dar total controle de um perfil aos criminosos, permitindo a visualização e publicação de vídeos privados, a postagem de conteúdos e o envio de mensagens a contatos e outros utilizadores.
- TikTok pode rastrear o que é digitado no navegador do app, diz pesquisador
- 10 formas de tornar o TikTok uma plataforma mais segura e privativa
A abertura estava no WebView, um componente do sistema operacional Android usado para a exibição de conteúdo online nos aplicativos. Quando um link perigoso era acessado através do TikTok, a página maliciosa usava dezenas de códigos em JavaScript para diferentes operações que envolviam desde a manipulação de contas e publicações a partir de solicitações HTTP até a obtenção de chaves de autenticação e cookies que permitiriam o acesso ao perfil.
Publicada em detalhes apenas agora, a abertura está corrigida desde março deste ano, com uma atualização sendo publicada pelo TikTok menos de um mês depois da notificação do problema pela Microsoft. A CVE-2022-28799, como foi rastreada, está resolvida desde a versão 23.7..3 do aplicativo da rede social, com a recomendação de atualização para todos os usuários no sistema operacional Android.
No sumário oficial publicado pelo TikTok sobre a brecha, ela é atribuída ao uso de parâmetros inválidos em links profundos, que abririam uma interface JavaScript por meio da qual a exploração poderia acontecer. Já o relatório da Microsoft fala na combinação de uma série de questões que, no final, permitiriam o carregamento arbitrário de recursos e o acesso completo a pacotes que, por sua vez, liberavam o acesso dos atacantes ao perfil dos usuários.
Brecha no TikTok não foi explorada por criminosos, diz empresa
Felizmente, segundo a empresa, não existem indícios de exploração da brecha por criminosos, mas tudo pode mudar agora que os detalhes da exploração estão disponíveis para o público. Por isso mesmo, a recomendação urgente de atualização é reforçada para todos os usuários da versão Android do Tiktok; o problema não atinge o aplicativo para iOS nem versões web da rede social.
Além disso, como medida de segurança geral, os usuários devem exercer cuidado ao clicar em links postados na rede social, seja nos comentários ou descrições de vídeos, assim como aqueles enviados por mensagem direta, principalmente se vierem de pessoas desconhecidas. Instalações e downloads sempre devem ser feitas de fontes oficiais, de forma a evitar a manipulação de aplicativos e reduzir o risco de contaminação por vírus.
Esta é a segunda falha desse tipo, com caráter crítico, resolvida pelo TikTok nos últimos anos. Em janeiro de 2021, a rede social também relatou a correção de uma vulnerabilidade em seu sistema de busca por amigos que poderia permitir o acesso indevido a informações pessoais dos usuários, burlando até mesmo mecanismos de proteção do próprio serviço.