Falha no TikTok permite publicar vídeos em seu nome!

Os investigadores de segurança Tommy Mysk e Talal Haj Bakry descobriram uma vulnerabilidade no TikTok que pode permitir a utilizadores mal intencionados colocarem vídeos em nome de outras pessoas. De facto, eles conseguiram publicar vídeos em várias contas populares no TikTok, incluindo a conta oficial da Organização Mundial de Saúde. Já viram o perigo de um vídeo com as indicações erradas aparecer no perfil da OMS?

Falha no TikTok permite publicar vídeos em seu nome!

O problema é que esta rede social utiliza um protocolo HTTP não encriptado em vez d0 HTTPS que é notoriamente mais seguro. Por esse motivo, os proprietários de redes Wi-Fi públicas, fornecedores de Internet e serviços governamentais podem aceder ao histórico de navegação de qualquer utilizador desta rede social.

Devido ao uso do protocolo HTTP, esta rede social fica exposta a ataques de criminosos. Com facilidade os investigadores que descobriram as falhas conseguiram altera conteúdos e substituir os vídeos reais dos utilizadores por vídeos falsos. Depois publicaram um vídeo com informações falsas na conta verificada da OMS.

TikTok vídeos

Os programadores não substituíram os vídeos no servidor TikTok, mas apenas na rede doméstica. Isto significa que apenas os utilizadores que usarem o seu router verão as alterações. No entanto, os investigadores acreditam que a vulnerabilidade pode ser explorada em maior escala se os hackers conseguirem deitar a mão a um servidor normal de DNS.

Entretanto no início de 2020, a Check Point descobriu uma vulnerabilidade que permitia aos criminosos gerir as contas de outras pessoas no TikTok. Depois disso, a equipa de Mysk e Bakri encontrou um problema de segurança que dava acesso à área de transferência no iPhone.

Infelizmente, o uso do HTTP para transferir dados confidenciais ainda não desapareceu. Como foi demonstrado, o HTTP abre as portas para  o acesso aos servidores e manipulação de dados.

Resta agora esperarmos que o TikTok faça algo para resolver esta falha de segurança e assim garantir com eficácia a segurança de todos os utilizadores da plataforma.

Entretanto clique aqui para seguir a Leak no Google Notícias e ficar a par de todas as informações mais importantes. Pode também subscrever aqui a nossa Newsletter e receber as notícias no seu e-mail.

mm
Bruno Fonseca
Fundador da Leak, estreou-se no online em 1999 quando criou a CDRW.co.pt. Deu os primeiros passos no mundo da tecnologia com o Spectrum 48K e nunca mais largou os computadores. É viciado em telemóveis, tablets e gadgets.

Especiais

Subscreva a Newsletter Leak

Não perca nenhuma informação importante! Subscreva a newsletter Leak e receba todas as notícias, destaques e outras informações importantes no seu e-mail.