TikTok: Vulnerabilidades, acesso infantil e até espionagem chinesa?

Aplicativo é o alvo da vez na web.

TikTok: Vulnerabilidades, acesso infantil e até espionagem chinesa?

O TikTok é um aplicativo de telefonia móvel de fenômeno global fabricado na China. Seu objetivo é criar clipes curtos de comédia ou talento com sincronização labial entre 3 e 15 segundos ou até 60 segundos. É particularmente popular entre os jovens, que o usam em grande parte para auto-publicidade ou exibição. 

O aplicativo foi desenvolvido pela ByteDance, com sede em Pequim, em 2016, e lançado no mercado global de Android e iOS em 2017. Atualmente, possui mais de 1 bilhão de usuários e é a nova "praga" de push para usuários do Facebook.

Desde o ano passado, a empresa foiu alvo de várias denúncias, em que facilita aos usuários menores de 13 anos evitar a obtenção do consentimento dos pais e não tenta notificar os pais para criarem suas contas e postarem vídeos.

No ano passado, a TikTok pagou uma multa de US$ 5,7 milhões sob um acordo judicial e concordou em implementar mudanças nas políticas, incluindo a exclusão de qualquer informação coletada de crianças menores de 13 anos.

Entretanto, decobriu-se que muitas contas com crianças ainda estavam presentes no TikTok, o que levou várias organizações americanas a acionarem novamente a empresa.

No ano passado, como se não bastasse, pesquisadores alertaram que a lei chinesa poderia obrigar a empresa a cooperar com o trabalho de inteligência do governo.  Ou seja, seria possível ao governo chinês ter acesso aos vídeos e perfis, construindo assim uma base de dados do modo de vida de pessoas em todo o mundo.

Tais preocupações levaram o Exército dos EUA a proibir seu uso em telefones do governo no final de 2019, revertendo uma diretiva anterior que chega a ausar o TikTok como uma ferramenta de recrutamento. A Marinha dos EUA também proibiu o uso do TikTok em telefones do governo.

Agora, novas preocupações atingem, o aplicativo.  Desta vez relacionadas a falhas de segurança.  A Check Point encontrou várias vulnerabilidades que poderiam ser facilmente exploradas. Isso pode levar o invasor a carregar vídeos falsos e excluir vídeos originais, alterar o status do vídeo de privado para público e extrair dados pessoais confidenciais, como nomes completos dos usuários, endereços de email e aniversários.

O site do TikTok permite que os usuários enviem a si mesmos uma mensagem SMS que permitirá o download do aplicativo. A resposta pode ser capturada com uma ferramenta de proxy, como o Burp Suite. Ele contém o número de telefone do destino pretendido e o URL de download do aplicativo. O URL de download pode ser modificado para um site sob o controle dos invasores. 

Juntando as vulnerabilidades, os pesquisadores descobriram que podiam até mesmo excluir um vídeo de usuário existente e criar um novo. 

Fica a dica.