Microsoft descobre grave falha de segurança no TikTok para Android
1 Setembro, 2022A Microsoft anunciou ter descoberto uma falha de segurança no TikTok para Android que permitia que um desconhecido acedesse às contas de outros utilizadores sem o seu conhecimento. A vulnerabilidade, desde já corrigida, esteve presente ao nível da aplicação Android que conta com mais de mil milhões de utilizadores em todo o mundo.
Essa falha, que afectou o TikTok para Android com versão 23.7.3 e inferior, exigia o encadeamento de vários elementos a serem explorados. Segundo a Microsoft, não tem conhecimento que alguém a tivesse explorado, como tal, isso significa que nenhum utilizador deverá ter sido afectado por essa vulnerabilidade.
Na verdade, existem duas versões do TikTok para Android, uma para o leste e sudeste da Ásia e outra para o resto do mundo. A Microsoft realizou uma avaliação de vulnerabilidade e descobriu que ambas as versões foram afectadas.
TikTok para Android deverá estar devidamente actualizado
A própria vulnerabilidade permitia que invasores ignorassem a verificação de links directos da aplicação, forçando-o a carregar uma URL arbitrária no WebView da aplicação, o que permitia acesso a elementos do JavaScript e concedia privilégios. O invasor também pode ter recuperado os tokens de autenticação do utilizador iniciando uma solicitação para um servidor controlado, e salvando o cookie, e os cabeçalhos da solicitação.
A Microsoft notificou o TikTok sobre essa falha de segurança em Fevereiro de 2022. Uma actualização foi lançada em Março, mas só agora a Microsoft revelou a sua existência.
Joel Pinto
Fundador do Noticias e Tecnologia, e este foi o seu segundo projeto online, depois de vários anos ligado a um portal voltado para o sistema Android, onde também foi um dos seus fundadores.
