Falha no TikTok pode colocar celular Android em risco

Informações pessoais de usuários do TikTok no app para Android podem estar em risco. A Microsoft descobriu uma vulnerabilidade que permite acesso aos dados de 70 modos diferentes e em apenas um clique. Apesar de ter sido corrigida recentemente pelo TikTok, a falha pode ter atingido 1,5 bilhão de dispositivos que instalaram o app a partir da Play Store.

• TikTok terá recurso para controle de tempo de uso do app

• TikTok remove 20 milhões de contas de menores de 13 anos

A partir da vulnerabilidade, cibercriminosos tinham acesso a perfis de usuários e podiam enviar vídeos para a plataforma, tornar públicos posts privados e enviar mensagens. Segundo a Microsoft, a falha afeta o código WebView: em links afetados, a URL pode acessar pontes JavaScript e garantir acesso às funcionalidades do app.

As pontes JavaScript, inclusive, representam risco a vários aplicativos. A Microsoft aponta que “a colaboração na comunidade de segurança é necessária para melhorar as defesas do ecossistema digital”.

Segundo os pesquisadores, a vulnerabilidade permite que a verificação mais profunda do link do aplicativo seja contornada. “O app podia ser forçado a carregar uma URL contrária para o WebView, o que permitia acessar as pontes JavaScript anexadas ao WebView e conceder algumas funcionalidades a elas”, informam.

Quando o alvo clica no link malicioso, o servidor do invasor tem acesso total ao JavaScript e pode pegar qualquer funcionalidade exposta. “O servidor do invasor volta para uma página HTML com código JavaScript para enviar tokens de upload de vídeo ao invasor, bem como permitir a alteração da biografia do perfil do usuário.”

A Microsoft afirma, entretanto, que não tem provas de que a vulnerabilidade tenha sido de fato explorada. A falha, entretanto, reforça as críticas ao TikTok por guardar informações em excesso dos usuários. Quem usa o TikTok e quer ter certeza de que o app está seguro, deve ir até a Play Store e atualizar o aplicativo.