TikTok: falha na app expôs dados privados dos utilizadores

Rui Bacelar
Comentar

A aplicação TikTok pode expor os dados privados dos utilizadores devido a uma vulnerabilidade encontrada na função "Encontrar Amigos". O alerta foi dado pela agência Check Point, que já tem vindo a questionar as fragilidades da popular app.

A rede social tem vindo a adquirir mais utilizadores - com mais de 1 milhão de utilizadores ativos em Portugal - agregando vários dados e informações privadas. Infelizmente, desde o início de janeiro que a app TikTok comprometeu a segurança dos utilizadores.

Dados privados dos utilizadores estiveram expostos na TikTok

TikTok

A exploração desta vulnerabilidade de segurança pode resultar na partilha e uso indevido ou malicioso dos dados pessoais. Em causa estão informações como o número de telefone, fotografias de perfil, o avatar, nome de utilizador TikTok, entre outros dados.

Entre estes dados, constavam também algumas definições de conta que determinam se um utilizador segue ou não outras contas, ou se o seu perfil é privado.

Apesar de útil para encontrar novos utilizadores mediante a partilha do contacto telefónico, a função "Encontrar Amigos" no TikTok continha uma vulnerabilidade que possibiltava o acesso indevido a informações sensíveis da conta.

Mais concretamente, os problemas de segurança permitiam que um atacante acedesse a contas alheias, podendo descarregar ou tornar vídeos públicos, bem como extrair informação pessoal. A ByteDance, empresa responsável, foi, entretanto, alertada.

TikTok

A exploração da vulnerabilidade do TikTok em 4 passos:

  1. Criar uma lista dos dispositivos (IDs de dispositivos) que serão utilizados para consultar os servidores do TikTok.
  2. Criar uma lista de tokens de sessão (cada token de sessão é válido por 60 dias) que será utilizada para consultar os servidores do TikTok.
  3. Ignorar os mecanismos de subscrição por mensagem HTTP, utilizando antes um serviço próprio, executado em pano de fundo.
  4. Encadear tudo, modificando as solicitações HTTP, declinando-as e utilizando a vários tokens de sessão e IDs de dispositivo para contornar os mecanismos de proteção do TikTok.

A falha foi comunicada aos responsáveis pelo TikTok que, entretanto, já disponibilizaram uma atualização de correção. Aconselhamos os utilizadores a atualizar app através da Google Play Store e App Store para Android e iOS, respetivamente.

Editores 4gnews recomendam:

Rui Bacelar
Rui Bacelar
Na escrita e comunicação repousa o gosto, nas leis a formação. É na tecnologia que encontrou o seu expoente máximo e na 4gnews a plataforma ideal para a redação e produção de vídeo.