Contas TikTok podiam ser roubadas com um clique

Uma equipa da Microsoft descobriu uma vulnerabilidade grave no TikTok, que permitia o roubo de contas com apenas um clique num link malicioso.

Recentemente falamos das injecção de scripts de tracking que o TikTok insere nas páginas que se visitam através da app, mas desta vez o browser era utilizado contra o próprio TikTok.

Devido à integração que o TikTok faz com o browser em Android, era possível roubar a conta de um utilizador que clicasse num simples link, dando a um atacante a possibilidade de publicar vídeos, enviar mensagens, ter acesso aos vídeos privados, e fazer alterações na conta; como era demonstrado por um exemplo que alterava a descrição da conta do utilizador para "Security Breach".

Esta falha está a ser revelada numa altura em que o TikTok já fez as correcções necessárias, mas a falha poderá ainda afectar utilizadores que se mantenham numa versão anterior da app Android. Se for esse o caso, será conveniente que tratem de fazer a actualização quanto antes. A app iOS não era afectada por esta falha.