O TikTok passou muito tempo focado em questões de segurança ultimamente, mas pelo menos uma possível violação de segurança, detectada pela Microsoft, parece ter escapado. Isso é baseado em relatórios detalhando a violação, que afetou efetivamente todos os usuários do TikTok no mundo.
Para maior clareza, a Microsoft detectou a violação em fevereiro. Em seguida, relatou o problema por meio da Divulgação Coordenada de Vulnerabilidade (CVD) por meio da Pesquisa de Vulnerabilidade de Segurança da Microsoft (MSVR). O TikTok, uma vez notificado, corrigiu a violação em um mês. Portanto, os usuários não foram realmente afetados por isso. Mas poderia ter sido muito pior.
Que violação a Microsoft encontrou no aplicativo TikTok para a segurança do Android?
Agora, a própria violação foi o resultado de uma cadeia de problemas. Especificamente, isso é para a versão Android do aplicativo de mídia social mais bem classificado. E com versões iguais ou anteriores a 23.7.3. Tudo isso culminou em uma única vulnerabilidade que, quando aproveitada, tinha o potencial de dar aos invasores uma infinidade de maneiras de acessar dados e contas de usuários em até 1,5 bilhão de instalações. Na verdade, até 70 maneiras.
Em termos de como a vulnerabilidade em questão funcionava, a Microsoft indica que o aplicativo Android para TikTok permitiu que a verificação de link direto do aplicativo fosse totalmente ignorada. Isso, por sua vez, significa que um invasor pode ter forçado o aplicativo a carregar uma URL no WebView. E, a partir desse URL, por meio de pontes JavaScript, o invasor poderia acessar os dados do usuário, bem como os tokens de autenticação para obter acesso total à conta.
A última parte do ataque teria funcionado por meio de uma solicitação para um servidor controlado e registro de cookies e cabeçalhos de solicitação.
Resumidamente, os invasores podem ter instanciado um ataque atraindo os usuários a clicar em um único link para abrir um URL. Então, a partir daí, o invasor poderia ter acesso não apenas aos dados privados do usuário. Mas também para vídeos privados, recursos de mensagens e todos os outros aspectos da conta TikTok do usuário. Incluindo a capacidade de fazer upload de vídeos.
