O Tiktok é uma aplicação chinesa de partilha de vídeo que ainda tem andado sob debate por parte dos utilizadores quanto à sua privacidade. Foram descobertas falhas graves de segurança que permitem a um atacante comprometer qualquer conta através apenas do número de telemóvel.
Segundo investigadores da CheckPoint, através da junção de várias falhas, é possível não só executar código remotamente, mas também executar ações em nome das vítimas (conhecido em segurança como Cross-Site Request Forgery).
O atacante pode mandar uma mensagem para qualquer número com um URL de download modificado (uma página maliciosa, por exemplo) com o objetivo de conseguir executar código na vítima que tenha a app instalada.
Assim que combinada com falhas de redirecionamento aberto ou mesmo cross-site scripting, o atacante pode executar código Javascript assim que a vítima clique no link.
A falha fol corrigida já em dezembro, após ter sido reportada nos finais de novembro.
Mais informações no site dos investigadores: https://research.checkpoint.com/2020/tik-or-tok-is-tiktok-secure-enough/