O TikTok passou muito tempo focado em questões de segurança ultimamente, mas pelo menos uma possível violação de segurança, detectada pela Microsoft, parece ter escapado. Isso se baseia em relatórios recentes que detalham a violação, que afetou efetivamente todos os usuários do TikTok no mundo.
Para maior clareza, a Microsoft detectou a violação em fevereiro. Em seguida, relatou o problema por meio da Divulgação Coordenada de Vulnerabilidade (CVD) por meio da Pesquisa de Vulnerabilidade de Segurança da Microsoft (MSVR). O TikTok, uma vez notificado, corrigiu a violação em um mês. Portanto, os usuários não foram realmente afetados por isso. Mas poderia ter sido muito pior.
Que violação a Microsoft encontrou no aplicativo TikTok para a segurança do Android?
Agora, a própria violação foi o resultado de uma cadeia composta de problemas. Especificamente, isso é para a versão Android do aplicativo de mídia social mais bem classificado. E com versões iguais ou anteriores a 23.7.3. Tudo isso culminou em uma única vulnerabilidade que, quando aproveitada, tinha o potencial de dar aos invasores uma infinidade de maneiras de acessar dados e contas de usuários em até 1,5 bilhão de instalações. Até 70 maneiras, na verdade.
Em termos de como a vulnerabilidade em questão funcionou, a Microsoft indica que o aplicativo Android para TikTok permitiu que a verificação de link direto do aplicativo fosse totalmente ignorada. Isso, por sua vez, significa que um invasor pode ter forçado o aplicativo a carregar uma URL no WebView. E, a partir desse URL, por meio de pontes JavaScript, o invasor poderia acessar os dados do usuário, bem como os tokens de autenticação para obter acesso total à conta.
A última parte do ataque teria funcionado por meio de uma solicitação a um servidor controlado e registro de cookies e cabeçalhos de solicitação.
Resumidamente, os invasores podem ter instanciado um ataque atraindo os usuários a clicar em um único link para abrir um URL. Então, a partir daí, o invasor poderia ter acesso não apenas aos dados privados do usuário. Mas também para vídeos privados, recursos de mensagens e todos os outros aspectos da conta TikTok do usuário. Incluindo a capacidade de fazer upload de vídeos.