Os investigadores de segurança Tommy Mysk e Talal Haj Bakry descobriram uma vulnerabilidade no TikTok que pode permitir a utilizadores mal intencionados colocarem vídeos em nome de outras pessoas. De facto, eles conseguiram publicar vídeos em várias contas populares no TikTok, incluindo a conta oficial da Organização Mundial de Saúde. Já viram o perigo de um vídeo com as indicações erradas aparecer no perfil da OMS?
Falha no TikTok permite publicar vídeos em seu nome!
O problema é que esta rede social utiliza um protocolo HTTP não encriptado em vez d0 HTTPS que é notoriamente mais seguro. Por esse motivo, os proprietários de redes Wi-Fi públicas, fornecedores de Internet e serviços governamentais podem aceder ao histórico de navegação de qualquer utilizador desta rede social.
Devido ao uso do protocolo HTTP, esta rede social fica exposta a ataques de criminosos. Com facilidade os investigadores que descobriram as falhas conseguiram altera conteúdos e substituir os vídeos reais dos utilizadores por vídeos falsos. Depois publicaram um vídeo com informações falsas na conta verificada da OMS.
Os programadores não substituíram os vídeos no servidor TikTok, mas apenas na rede doméstica. Isto significa que apenas os utilizadores que usarem o seu router verão as alterações. No entanto, os investigadores acreditam que a vulnerabilidade pode ser explorada em maior escala se os hackers conseguirem deitar a mão a um servidor normal de DNS.
Entretanto no início de 2020, a Check Point descobriu uma vulnerabilidade que permitia aos criminosos gerir as contas de outras pessoas no TikTok. Depois disso, a equipa de Mysk e Bakri encontrou um problema de segurança que dava acesso à área de transferência no iPhone.
Infelizmente, o uso do HTTP para transferir dados confidenciais ainda não desapareceu. Como foi demonstrado, o HTTP abre as portas para o acesso aos servidores e manipulação de dados.
Resta agora esperarmos que o TikTok faça algo para resolver esta falha de segurança e assim garantir com eficácia a segurança de todos os utilizadores da plataforma.
Receba as notícias Leak no seu e-mail. Carregue aqui para se registar. É grátis!
