Informações pessoais confidenciais, como morada ou e-mail, podem ser expostas devido a uma quebra de segurança numa das aplicações mais utilizadas

Check Point Research, a divisão de Inteligência de Ameaças da Check Point descobriu múltiplas vulnerabilidades críticas no TikTok, uma aplicação móvel com mais de 1 bilião de utilizadores em mais de 150 países. Estas falhas de segurança permitiriam aos criminosos informáticos manipular dados (adicionar/eliminar vídeos), alterar a privacidade do utilizador (alterar as definições de privacidade do vídeo de privado para público) e aceder e extrair dados pessoais (nome completo, endereço de e-mail, aniversário, etc.) armazenados nestas contas.

O TikTok é uma das aplicações com crescimento mais rápido dos últimos tempos (na verdade, é a terceira aplicação mais descarregada em todo o mundo, apenas atrás do WhatsApp e do Messenger), e encontra nos jovens o seu público principal. Este serviço permite aos seus utilizadores criar e guardar vídeos privados de si próprios e dos seus entes queridos (que podem ter um conteúdo muito sensível). Contudo, estas aplicações comportam muitos riscos; de facto, esta semana, o Exército dos Estados Unidos proibiu os seus soldados de as utilizar porque consideravam esta aplicação uma «ameaça cibernética».


Como funciona esta vulnerabilidade?

Para baixar o TikTok, um novo utilizador recebe um link de download via SMS e deve então introduzir o seu número de telefone. Durante a investigação, os especialistas da Check Point descobriram que um atacante poderia fazer-se passar por uma aplicação e enviar um SMS falso com um link malicioso. Quando o utilizador clica permite que o criminoso cibernético assuma a conta do TikTok e manipule o seu conteúdo, apagando arquivos, carregando vídeos não autorizados e tornando público o conteúdo privado ou «oculto» do utilizador.

Por outro lado, os investigadores da empresa descobriram que um hacker pode forçar um utilizador TikTok a entrar num servidor web sob o seu controle, tornando possível que o atacante envie pedidos indesejados em nome do mesmo. A pesquisa também revelou que o subdomínio Tiktok https://ads.tiktok.com era vulnerável a ataques XSS, um tipo de ameaça cibernética na qual scripts maliciosos são injetados em sites que de outra forma seriam confiáveis.

Os especialistas da Check Point aproveitaram essa vulnerabilidade para recuperar informações pessoais armazenadas nas contas dos utilizadores, incluindo endereços de e-mail privados e datas de nascimento. Depois disso, a empresa informou os programadores da aplicação sobre as vulnerabilidades encontradas durante a investigação, que agora foram corrigidas, para que os utilizadores possam fazer uso normal do serviço.

«As brechas na segurança de dados estão a tornar-se uma epidemia, e a nossa pesquisa mais recente mostra que as aplicações mais populares ainda estão em risco«, disse Oded Vanunu, Chefe de Pesquisa de Vulnerabilidade de Produtos na Check Point. «As aplicações de redes sociais são muito susceptíveis, pois fornecem uma boa fonte de dados privados e abrem uma porta para o ataque. Os cibercriminosos estão a investir grandes quantias de dinheiro e a dedicar muito esforço para penetrar aplicações tão maciças. No entanto, a maioria dos utilizadores assume que estão protegidos pela aplicação que estão a utilizar«, acrescenta Vanunu.

Este novo caso também destaca a necessidade de fornecer smartphones com medidas de segurança que garantam a privacidade do utilizador. A Check Point, por sua vez, tem a SandBlast Mobile, uma solução contra ameaças móveis avançadas com infraestrutura de On-device Network Protection. Ao rever e controlar todo o tráfego de rede do dispositivo, o SandBlast Mobile evita ataques de roubo de informações em todos as aplicações, e-mail, SMS, iMessage e aplicações de mensagens instantâneas. Esta solução também impede tanto o acesso a sites maliciosos como o acesso e a comunicação com botnets, validando o tráfego no próprio dispositivo sem encaminhar os dados através de um gateway corporativo.

Mantenha-se informado das notícias mais relevantes em nosso canal Telegram