A Check Point Research (CPR) descobriu uma vulnerabilidade no recurso "Find Friends" ou "Encontrar Amigos" do TikTok que contornou suas proteções de privacidade. Se não fosse corrigida, a vulnerabilidade teria permitido a um atacante acessar os detalhes de perfil de um usuário (nome, número de telefone, foto, avatar, identificações exclusivas e até configurações) tornando possível construir um banco de dados para uso em atividades maliciosas. A falha foi comunicada aos responsáveis pelo TikTok que já disponibilizaram uma atualização que soluciona essa vulnerabilidade.
Em janeiro de 2020 , as condições de proteção de dados do TikTok foram pela primeira vez questionadas pela Check Point devido a problemas de segurança que permitiam um atacante acessar informações pessoais salvas nas contas de um usuário, podendo descarregar ou tornar vídeos públicos, bem como extrair dados pessoais ou realizar ações em nome de um usuário sem seu consentimento. Desta vez, a vulnerabilidade encontrada diz respeito à funcionalidade "Encontrar Amigos" que, se não fosse atualizada, possibilitaria o acesso indesejado a detalhes de um perfil e ao número de telefone associado ao mesmo. Com isso, os dados pessoais seriam importantes na construção de uma base de informações a ser utilizada para atividades maliciosas. Entre estas informações constavam ainda o nome de usuário único, fotografias de perfil e algumas definições de conta que determinam se um usuário segue ou não outras contas ou se o seu perfil é privado.
Metodologia de exploração da vulnerabilidade
• O cibercriminoso cria uma lista dos dispositivos (IDs de dispositivos) que serão utilizados para consultar os servidores do TikTok.
• Cria uma lista de tokens de sessão (cada token de sessão é válido por 60 dias) que também serão utilizados para consultar os servidores do TikTok.
• Ignora os mecanismos de subscrição por mensagem HTTP, utilizando antes um serviço próprio, executado em segundo plano.
• Une todos esses elementos para modificar as solicitações HTTP, declinando-as e utilizando vários tokens de sessão e IDs de dispositivo para contornar os mecanismos de proteção do TikTok.
"Desta vez, nossa principal motivação foi explorar a privacidade do TikTok. Estávamos interessados em saber se a plataforma do TikTok poderia ser utilizada para acessar os dados privados dos usuários. E a resposta foi sim; pois, fomos capazes de nos esquivar de vários mecanismos de proteção do TikTok que levam à violação de privacidade", explica Oded Vanunu, chefe de pesquisa de vulnerabilidades de produtos da Check Point Software Technologies. "A vulnerabilidade permitiria que um atacante construísse um banco de dados detalhado do usuário. Um atacante com esse grau de informações confidenciais poderia executar uma série de atividades maliciosas, como spear phishing ou outras ações criminosas. Nossa recomendação aos usuários do TikTok é compartilhar o mínimo de dados quando se trata de informações pessoais, além de atualizar seu sistema operacional e aplicativos para as versões mais recentes", ressalta Vanunu.
A equipe da CPR, divisão Inteligência em Ameaças da Check Point, compartilhou devidamente suas descobertas com a ByteDance, responsável pelo TikTok. Uma solução foi prontamente disponibilizada pelos desenvolvedores do aplicativo, de modo a garantir que os seus usuários podem fazer uso de forma segura.
Os responsáveis pelo TikTok destacaram que "a segurança e privacidade da comunidade TikTok é a nossa maior prioridade, e agradecemos o trabalho de parceiros confiáveis como a Check Point na identificação de potenciais questões de segurança, já que só assim podemos resolvê-las antes de afetarem os usuários". "Nós continuamos fortalecendo as nossas defesas por meio do constante aprimoramento das nossas capacidades internas, investindo em proteções automatizadas, e também mediante a colaboração com terceiros", finaliza a equipe do TikTok.