Una nueva vulnerabilidad crítica en TikTok expone los datos de millones de usuarios de todo el mundo.
La vulnerabilidad permite acceder al número de teléfono, nombre, foto de perfil, avatar, identificaciones únicas e incluso la configuración del perfil, advierten investigadores de Check Point Research.
La aplicación móvil con más de 1 billón de usuarios en más de 150 países presenta una vulnerabilidad en la función “Encontrar amigos”, a través de la cual un ciberdelincuente podía acceder a la información del perfil del usuario (número de teléfono, nombre, foto de perfil, avatar, identificaciones únicas e incluso configuración del perfil) lo que permite crear una base de datos que posteriormente podría utilizarse para actividades maliciosas.
Este servicio permite a sus usuarios crear y guardar videos privados suyos y de sus seres queridos (que pueden tener contenido muy sensible).
En enero de 2020 Check Point alertó de un fallo de seguridad que permitía a los ciberdelincuentes manipular datos (añadir/eliminar vídeos), alterar la privacidad del usuario (cambiar la configuración de la privacidad de los vídeos de privada a pública) y acceder y extraer datos personales (nombre completo, dirección de correo electrónico, cumpleaños, etc.) guardados en estas cuentas.
En esta ocasión, la vulnerabilidad se explota de la siguiente manera:
El ciberdelincuente crea una lista de dispositivos (IDs de dispositivos) que se utilizarán para consultar los servidores de TikTok.
Crear una lista de tokens de sesión (cada token de sesión es válido durante 60 días) que se utilizarán para consultar los servidores de TikTok.
Evitar el mecanismo de firma de mensajes HTTP de la empresa utilizando su propio servicio de firma ejecutado en segundo plano.
Une todos estos elementos para modificar las peticiones HTTP, reasignarlas y utilizar varios tokens de sesión e IDs de dispositivos para saltarse los mecanismos de protección de la red.
La empresa comunicó que compartió su descubrimiento con ByteDance, empresa responsable de TikTok, y ofreció una serie de recomendaciones para solventar esta vulnerabilidad.
Te puede interesar: Propietario de TikTok lanzó servicio de pago electrónico.
