TikTok corrige falhas que deixavam dispositivos Android vulneráveis
As falhas são divulgadas porque a Oracle tem parceria com a TikTok, já que as preocupações com a espionagem nos EUA continuam.
Os pesquisadores revelaram quatro falhas de alta gravidade na versão Android do TikTok que poderiam ter sido facilmente exploradas por um aplicativo Android de terceiros aparentemente benigno. Se for bem-sucedido, um invasor pode comprometer totalmente a conta TikTok do alvo. A divulgação pública das vulnerabilidades foi sexta-feira e todos os bugs foram corrigidos na versão 17.4.4 do aplicativo.
Pesquisadores superprotegidos disseram que encontraram falhas de execução de código arbitrário e uma vulnerabilidade de roubo de arquivo arbitrário no TikTok. A divulgação das falhas ocorre no momento em que o proprietário da plataforma de mídia social supostamente escolheu a Oracle como parceira de tecnologia americana que poderia ajudar a manter o aplicativo em execução nos Estados Unidos, na esteira do presidente dos EUA, Donald Trump, que ameaçou banir o aplicativo por causa de problemas de espionagem .
Se exploradas, as falhas de execução de código arbitrário podem permitir que os invasores acessem as mensagens e vídeos privados das vítimas dentro do aplicativo. Eles também poderiam obter controle sobre as permissões do aplicativo – dando-lhes acesso às fotos e vídeos das vítimas armazenados no dispositivo, downloads do navegador da web, funções de gravação de áudio e vídeo e contatos.
“Todas essas vulnerabilidades poderiam ter sido exploradas por um hacker se um usuário tivesse instalado um aplicativo malicioso em seu dispositivo Android”, de acordo com pesquisadores da Oversecured, que descobriram as falhas, em um post de sexta-feira . “Todas as vulnerabilidades foram removidas. Os usuários devem atualizar para a versão mais recente no Google Play para desfrutar da melhor experiência. ”
Falhas do Android TikTok
Os pesquisadores verificaram o aplicativo e encontraram várias vulnerabilidades na maneira como os arquivos são carregados no aplicativo. Todas as falhas de execução de código arbitrário foram descobertas em diferentes componentes do Android no arquivo AndroidManifest.xml, que é um arquivo de manifesto para projetos de aplicativos que descreve informações essenciais sobre aplicativos para as ferramentas de compilação do Android, o sistema operacional Android e o Google Play.
Os componentes Android em questão são: DetailActivity, NotificationBroadcastReceiver e a interface IndependentProcessDownloadService AIDL (Android Interface Definition Language). O problema com esses componentes é que eles não possuem certas verificações de segurança, permitindo que um aplicativo de terceiros ou qualquer pessoa carregue arquivos arbitrários maliciosos neles.
“A vulnerabilidade inicial é que todos eles foram ‘expostos’ (ou desprotegidos pelo modelo de permissão padrão do Android)”, disse Sergey Toshin, fundador da Oversecured, ao Threatpost. “Isso permitiu que aplicativos de terceiros os alcançassem.”
Para explorar as falhas, um invasor precisa primeiro convencer um alvo a baixar um aplicativo (como um aplicativo de calculadora, por exemplo). Depois de baixado, o aplicativo pode criar um arquivo de biblioteca no diretório privado do TikTok e carregá-lo automaticamente.
“A vulnerabilidade pode ter sido explorada por um aplicativo que foi executado apenas uma vez e depois, digamos, excluído”, explicaram os pesquisadores. “A biblioteca teria sido gravada no diretório privado do aplicativo e poderia ter sido carregada pelo aplicativo mesmo depois que o telefone foi reiniciado ou o aplicativo reiniciado. Todas as vulnerabilidades relacionadas à execução arbitrária de código levariam ao comprometimento total do aplicativo e de seus usuários. ”
As três falhas de execução de código arbitrário foram relatadas em 27 de janeiro de 2020 e corrigidas entre junho e agosto, de acordo com os pesquisadores.
Os pesquisadores também encontraram uma falha que permite o roubo arbitrário de arquivos na atividade com.ss.android.ugc.aweme.livewallpaper.ui.LiveWallPaperPreviewActivity.
“Essa falha exigia a interação do usuário, mas levava ao acesso a arquivos arbitrários de aplicativos protegidos”, de acordo com os pesquisadores. “Um invasor pode acessar dados privados do usuário no aplicativo, como histórico, mensagens privadas ou token de sessão, levando ao acesso à conta do usuário.”
Este bug de roubo de arquivo arbitrário foi relatado em 16 de fevereiro de 2020 para a TikTok; as versões 8.4.0 (12 de setembro de 2018) a 15.2.10 (21 de março de 2020) do aplicativo são vulneráveis.“Como parte de nossos esforços contínuos para construir a plataforma mais segura e protegida do setor, trabalhamos constantemente com terceiros para encontrar e corrigir bugs”, disse um porta-voz da TikTok ao Threatpost. “Embora os bugs em questão representassem um risco apenas se um usuário também tivesse baixado um aplicativo malicioso em seu dispositivo Android , nós os corrigimos. Agradecemos que o pesquisador nos tenha relatado esse problema para que possamos corrigi-lo e incentivamos todos os nossos usuários a baixar a versão mais recente do aplicativo. ”
Problemas contínuos de segurança do TikTok
Durante o ano passado, a popularidade do TikTok explodiu, com mais de 500 milhões de usuários ativos por mês em todo o mundo – mas também gerou polêmica em torno de suas políticas de privacidade e segurança. As falhas já foram corrigidas.
A TikTok também está sob constante análise de suas políticas de privacidade e segurança nos últimos meses. Em junho, um novo recurso de privacidade no Apple iOS 14 lançou luz sobre a prática da TikTok de ler dados recortar e colar dos usuários do iPhone , embora a empresa tenha dito em março que iria parar.
Em agosto, os pesquisadores descobriram que o TikTok tem coletado identificadores exclusivos de milhões de dispositivos Android sem o conhecimento de seus usuários, usando uma tática anteriormente proibida pelo Google porque violava a privacidade das pessoas.
No início deste ano, em janeiro, os pesquisadores descobriram uma vulnerabilidade na plataforma do TikTok que poderia permitir que os invasores controlassem remotamente partes da conta TikTok das vítimas, como enviar ou excluir vídeos e alterar as configurações dos vídeos para tornar públicos os vídeos “ocultos”.
Fonte: https://threatpost.com/tiktok-android-compromise/159208/