Falha grave de segurança no TikTok para Android permitia roubo de contas
O TikTok confirmou ter corrigido uma grave vulnerabilidade sobre a sua aplicação para Android, que quando explorada, poderia permitir o roubo das contas com apenas uma ação. A falha acredita-se que poderia afetar milhões de utilizadores se fosse ativamente explorada.
A descoberta foi realizada pela equipa de segurança da Microsoft, que a partir do seu blog oficial revelou mais detalhes sobre a mesma. A falha foi reportada para o TikTok, e desde então corrigida, portanto não pode ser atualmente explorada.
A falha foi classificada como sendo de elevada gravidade, tendo em conta que poderia permitir levar ao roubo de contas na plataforma com poucas ações por parte das vítimas. Tudo o que estas necessitavam de fazer seria carregar num link, especialmente criado para explorar a falha.
Uma vez feita essa tarefa, o atacante passaria a ter controlo para algumas tarefas básicas da conta, mas que envolvem o possível envio de mensagens, vídeos e acesso a conteúdos privados das contas.
Tendo em conta que a aplicação do TikTok para Android conta com mais de 1.5 mil milhões de downloads na Play Store, existe o potencial desta falha afetar um largo número de utilizadores. No entanto, a boa noticia será que a mesma terá sido, entretanto, corrigida.
A Microsoft afirma que forneceu toda a informação à equipa de segurança do TikTok, a qual respondeu rapidamente ao incidente e procedeu com a correção da falha. Apesar de não terem sido fornecidos todos os detalhes sobre a falha, esta parecia estar associada com a funcionalidade deep link, existente sobre apps do Android.
Os investigadores acreditam que a falha não terá sido ativamente explorada para ataques antes de ter sido corrigida. Para os utilizadores finais, a única necessidade será de manterem as suas apps atualizadas para a versão mais recente.