Investigadores de ciberseguridad han revelado esta semana un fallo de seguridad ya parcheado en TikTok que permitía a un atacante construir una base de datos de los usuarios de la app con sus números de teléfono asociados para poder llevar a cabo actividades maliciosas.
El fallo afecta sólo a los usuarios que han vinculado un número de teléfono con su cuenta o han iniciado sesión con el número de teléfono, una vulnerabilidad que de haberse explotado habría provocado una fuga de datos y la violación de la privacidad.
Cómo se explotaba la vulnerabilidad
Los investigadores de Check Point Research han sido los descubridores de esta vulnerabilidad crítica que se encontraba en la función ‘Encontrar amigos’ a través de la cual un ciberdelincuente podía acceder a la información del perfil del usuario, incluyendo el número de teléfono, nombre, foto de perfil, avatar, identificaciones únicas y configuración del perfil.
Según detalla, la vulnerabilidad se explotaba de la siguiente manera:
- En primer lugar, el ciberdelincuente crea una lista de dispositivos (IDs de dispositivos) que se utilizarán para consultar los servidores de TikTok.
- Posteriormente se crea una lista de tokens de sesión (cada token de sesión es válido durante 60 días) para consultar los servidores de TikTok.
- En tercer lugar, se evita el mecanismo de firma de mensajes HTTP de TikTok utilizando su propio servicio de firma ejecutado en segundo plano.
- Por último, se unen todos estos elementos para modificar las peticiones HTTP, reasignarlas y utilizar varios tokens de sesión e IDs de dispositivos para saltarse los mecanismos de protección de TikTok.
“En esta ocasión, el estudio que hemos llevado a cabo sobre esta aplicación tenía como objetivo explorar la privacidad de TikTok y saber si la plataforma podía utilizarse para obtener datos privados de los usuarios. Descubrimos que, efectivamente, es posible, ya que hemos podido eludir múltiples mecanismos de protección de TikTok”, advierte Oded Vanunu, Jefe de Investigación de Vulnerabilidad de Productos de Check Point. “La vulnerabilidad podría haber permitido a un atacante crear una base de datos con información de los usuarios y sus respectivos números de teléfono, gracias a la cual un ciberdelincuente podría realizar una serie de actividades maliciosas, como el spear phishing”, añade Vanunu.
"La seguridad, la privacidad y la protección de la comunidad de TikTok son nuestras mayores prioridades”
Por ello, Check Point aconseja a los usuarios de la red social evitar compartir datos personales y piden actualizar el sistema operativo y sus apps con las últimas versiones para evitar estos fallos de seguridad.
Preguntados al respecto, un portavoz de TikTok ha defendido en declaraciones a Zonamovilidad.es que “la seguridad, la privacidad y la protección de la comunidad de TikTok son nuestras mayores prioridades” y ha querido agradecer a Check Point “los esfuerzos en la identificación de posibles problemas para que podamos resolverlos antes de que los usuarios se vean afectados. Seguimos invirtiendo en reforzar nuestras defensas automatizadas para minimizar este tipo de ataques”.
Si (
No(
