Pesquisadores
da empresa de segurança CheckPoint Research descobriram uma
falha no TikTok que poderia expor dados pessoais, no caso os números de
telefone, dos usuários. A falha só afetava aqueles que associaram um número de
telefone com sua conta ou logaram-se usando um número de telefone, mas ainda
assim representa um risco à privacidade.
O
bug existia no recurso “Find friends” do TikTok que permite aos usuários
sincronizar seus contatos com o serviço para identificar pessoas em potencial a
serem seguidas. Os contatos são enviados ao TikTok através de uma solicitação
HTTP na forma de uma lista, que contém nomes de contatos em hash e os números
de telefone correspondentes.
Em seguida o aplicativo envia uma segunda solicitação HTTP
que recupera os perfis TikTok conectados aos números de telefone enviados na
solicitação anterior. Esta resposta inclui nomes de perfis, números de
telefone, fotos e outras informações relacionadas ao perfil.
As solicitações de upload e sincronização de contatos são
limitadas a 500 contatos por dia, por usuário e por dispositivo, mas os
pesquisadores da Check Point encontraram uma maneira de contornar esta
limitação obtendo o identificador do dispositivo e cookies de sessão definidos
pelo servidor.
Depois,
modificaram as solicitações HTTP e adicionaram uma assinatura atualizada,
criando uma forma de automatizar o procedimento de upload e sincronização de
contatos em larga escala e criar um banco de dados de contas e os números de
telefone conectados a elas.
“Nossa
principal motivação, desta vez, foi explorar a privacidade do TikTok”, disse
Oded Vanunu, chefe da pesquisa de vulnerabilidades de produtos da Check Point.
“Ficamos curiosos se a plataforma TikTok poderia ser usada para obter dados
privados dos usuários. E a resposta foi positiva, pois fomos capazes de
contornar múltiplos mecanismos de proteção da TikTok que levam à violação da
privacidade”.
“Um
malfeitor com tais informações privadas poderia realizar uma série de
atividades maliciosas, tais como phishing, roubo de identidade e outras ações criminosas”,
disse. “Nossa mensagem aos usuários do TikTok é a de que compartilhem o mínimo
necessário quando se trata de seus dados pessoais”.
Falha
no TikTok foi corrigida
A ByteDance, desenvolvedora do TikTok, corrigiu a
vulnerabilidade, bloqueando futuras tentativas de driblar as proteções de
privacidade da plataforma e roubar os dados privados dos usuários.
“A
segurança e a privacidade da comunidade TikTok são nossa maior prioridade, e
apreciamos o trabalho de parceiros de confiança como a Check Point na
identificação de possíveis problemas para que possamos resolvê-los antes que
afetem os usuários”, disse um porta-voz do TikTok em uma declaração.
“Continuamos
a fortalecer nossas defesas, tanto atualizando constantemente nossas
capacidades internas, como investindo em automação, além de trabalhar com
terceiros”.
Fonte: Hacker News
