Um dos aplicativos de mídia social mais populares está enfrentando maior escrutínio sobre vazamentos de dados, pois uma possível violação de segurança do TikTok que poderia afetar mais de um bilhão de usuários foi descoberta.
Na segunda-feira, vários especialistas em segurança cibernética twittaram sobre a suposta descoberta de uma vulnerabilidade de servidor desprotegido que permitia o acesso ao armazenamento do TikTok, que eles acham que continha dados pessoais do usuário. Apenas alguns dias atrás, a Microsoft Corp. anunciou a descoberta de uma “vulnerabilidade de alta gravidade”, que pode causar uma violação do TikTok no aplicativo Android, “que permitiria que invasores comprometessem as contas dos usuários com um único clique”.
O TikTok, da ByteDance Ltd., superou um bilhão de usuários mensais há um ano e agora é o aplicativo favorito de muitos jovens. Como resultado, é um alvo atraente para hackers que desejam roubar contas populares ou revender informações críticas. O governo Trump o classificou como um risco à privacidade em 2020 e quase o baniu devido a preocupações com possíveis ligações entre sua empresa-mãe com sede em Pequim e o governo chinês.
A violação de segurança do TikTok foi minimizada pela empresa
O TikTok afirmou que os relatórios de uma violação detectada no fim de semana eram falsos. De acordo com um representante, “Nossa equipe de segurança investigou essa declaração e determinou que o código em questão não está relacionado ao código-fonte de back-end do TikTok”.
Troy Hunt, um analista de segurança online australiano, examinou algumas das amostras de dados roubados e descobriu semelhanças entre perfis de usuários e filmes enviados com esses IDs. No entanto, parte das informações no vazamento eram “dados publicamente acessíveis que poderiam ter sido construídos sem violação”. Ele publicado no Twitter que:
“Isso até agora é bastante inconclusivo; alguns dados correspondem a informações de produção, embora informações publicamente acessíveis. Alguns dados são lixo, mas podem ser dados de não produção ou de teste. É um pouco confuso até agora.”
A Microsoft descobriu uma vulnerabilidade mais restrita que pode ter afetado os telefones celulares com Android. Pode ter dado aos invasores acesso e modificação de “perfis do TikTok e informações confidenciais, como publicidade de vídeos privados, envio de mensagens e upload de vídeos em nome dos usuários”, afirmou Dimitrios Valsamaras, da equipe de pesquisa do Microsoft 365 Defender. De acordo com uma porta-voz do TikTok, a empresa respondeu imediatamente às descobertas da Microsoft e corrigiu a falha de segurança descoberta “em algumas versões mais antigas do aplicativo Android”.
Vazamentos de dados causados pelo TikTok são uma preocupação séria para os EUA
Independentemente de quão inconclusivas ou pequenas sejam as falhas, o TikTok e sua controladora serão examinados de perto em um momento em que os EUA podem endurecer suas sanções contra empresas com vínculos com a China. Em junho, nove senadores dos EUA exigiram que o CEO do TikTok explicasse supostos lapsos de segurança em um carta pública.
O presidente Joe Biden deve assinar uma ordem executiva restringindo o investimento dos EUA em negócios de tecnologia chineses, e uma medida separada visando o TikTok é possível, com o governo observando atentamente se o governo chinês tem acesso aos dados de usuários americanos. A corporação informou ao Congresso dos EUA que tomou precauções para proteger esses dados por meio de um acordo com a Oracle Corp.
“Há muita atenção na maneira como o TikTok opera e há uma grande lacuna entre como ele opera e como diz que opera”, disse Robert Potter, co-CEO da empresa de segurança cibernética Austrália-EUA Internet 2.0 Inc. estudar lançado em julho, a equipe de Potter afirmou que descobriu “colheita excessiva de dados” pelo TikTok nos dispositivos dos usuários, que o aplicativo verifica a posição do dispositivo pelo menos uma vez por hora e que contém um código que reúne números de série tanto para o dispositivo quanto para o cartão SIM . O TikTok rejeitou as descobertas, alegando que elas “informam a quantidade de dados que coletamos”.
3/ Internet2.0 deturpa a quantidade de dados que coletamos. Por exemplo, não coletamos o IMEI do dispositivo do usuário, o número de série do SIM, as informações de assinatura ativa ou o número de identificação do cartão de circuito integrado e não coletamos a localização GPS precisa.
— TikTokComms (@TikTokComms) 18 de julho de 2022
o notícia chamou a atenção na Austrália, e Clare O’Neil, a nova ministra do Interior, revelou na segunda-feira que orientou sua agência a investigar quais dados o TikTok coleta e quem tem acesso a eles. O’Neil disse em comentários enviados por e-mail que:
“Temos esse problema básico aqui onde temos empresas de tecnologia sediadas em países com uma abordagem mais autoritária do setor privado. O TikTok não é o começo e o fim disso. É um dos muitos problemas que surgiram por essas empresas de tecnologia muito dominantes e o papel que elas estão desempenhando em nossas vidas.”
TikTok pode ser “keylogging” que pode causar vazamentos de dados
Outro estudar no mês passado concentrou-se em navegadores in-app pelo pesquisador de segurança Felix Krause, que criou uma ferramenta para verificar o que os programas fazem no WebView. O estudo, que se concentrou nas vulnerabilidades de aplicativos móveis usando navegadores no aplicativo, examinou cerca de 25 dos aplicativos iOS mais populares e descobriu que o TikTok empregou uma abordagem de keylogging em seu navegador no aplicativo. De acordo com Krause, “o TikTok iOS se inscreve em todas as teclas pressionadas (entradas de texto) que ocorrem em sites de terceiros renderizados dentro do aplicativo TikTok. Isso pode incluir senhas, informações de cartão de crédito e outros dados confidenciais do usuário.”
Ele também observou que a versão iOS do TikTok empregava código JavaScript para analisar o que o usuário clicou. Embora Krause tenha admitido que não tinha ideia do que o TikTok faz com a assinatura, ele afirmou que a resposta do TikTok em um Artigo da Forbes demonstrou que tem capacidade de keylogging. TikTok respondeu a Tech Target em uma declaração afirmando que as descobertas do relatório são incorretas e enganosas: “O pesquisador diz especificamente que o código JavaScript não significa que nosso aplicativo está fazendo algo malicioso e admite que eles não têm como saber que tipo de dados nosso navegador do aplicativo coleta. Ao contrário das alegações do relatório, não coletamos pressionamentos de tecla ou entradas de texto por meio deste código, que é usado exclusivamente para depuração, solução de problemas e monitoramento de desempenho.”
No entanto, os especialistas em segurança da informação acham que o uso de keylogging do TikTok para depuração é limitado. Por exemplo, a solução de problemas geralmente é dada pelo sistema operacional e não pelo software, de acordo com Chester Wisniewski, principal pesquisador da Sophos. A Apple, por exemplo, seria responsável pelos problemas do iPhone e o Google pelos problemas do Android porque usam o Safari e o Chrome, respectivamente.
De acordo com Nick DeLena, sócio da empresa de consultoria DGC especializada em segurança cibernética e privacidade, o keylogging é frequentemente visto como uma violação de privacidade e, quando um aplicativo ou serviço o emprega, geralmente é forçado a outro meio de depuração. . De acordo com DeLena, o risco com o software do TikTok é especialmente grande porque o governo chinês tem participação na empresa controladora do TikTok, ByteDance.
Se ou se o TikTok estiver usando apenas a capacidade de depuração, ainda poderá representar um risco de segurança para as organizações. De acordo com Tim Mackey, estrategista-chefe de segurança da Synopsys, se o programa for usado no trabalho, informações corporativas confidenciais podem ser incluídas no pacote de dados de keylogging. Embora muitas empresas impeçam o download de determinados aplicativos ou serviços em dispositivos de trabalho, o gerenciamento da crescente força de trabalho remota pode ser problemático. A transição aprofundou a divisão entre trabalho e vida pessoal.
Wisniewski enfatizou que as pessoas estão cada vez mais usando telefones ou tablets pessoais para tarefas relacionadas ao trabalho e podem não estar cientes dos riscos potenciais, dizendo: “Leva apenas um minuto para ficar confuso sobre se você está atualmente no navegador da empresa ou pode estar no navegador TikTok no aplicativo por acidente e começar a fazer coisas da empresa, e isso é um grande risco de vazamento de dados.”
Esperamos que você tenha gostado deste artigo sobre uma possível violação do TikTok que levante questões sobre vazamentos de dados e segurança. Se o fez, temos certeza de que você também gostará de ler alguns de nossos outros artigos, como a correção da falha de segurança do iPhone da Apple para o bug de dia zero foi lançada ou a vulnerabilidade do Zoom Mac permite que hackers obtenham acesso remoto.
Source: Possível violação do TikTok levanta questões sobre vazamentos de dados e segurança
