TikTok: Una grave vulnerabilidad deja los datos confidenciales de los usuarios al descubierto

La nueva vulnerabilidad de TikTok proporciona acceso a datos confidenciales del usuario, incluido el número de teléfono

TikTok: Una grave vulnerabilidad a los datos confidenciales de los usuarios descubiertos

Check Point Research (CPR), la división Threat Intelligence de Check Point Software Technologies, el proveedor líder mundial de soluciones de ciberseguridad, identificó una nueva vulnerabilidad en la aplicación TikTok, después de que ya había descubierto otra entre 2019 y 2020.

La nueva brecha, que se encuentra en la función “Buscar amigos” de TikTok, le permitirá eludir las protecciones de privacidad creadas para defender a los usuarios de la aplicación. Si no se parchea, la vulnerabilidad permitiría a un hacker acceder a los detalles del perfil de un usuario y también al número de teléfono asociado con su cuenta, dándoles la capacidad de construir una base de datos para ser utilizado para actividades ilegales.

Los detalles del perfil accesibles a través de este defecto incluyen: número de teléfono, apodo, imágenes de perfil y avatar, ID de usuario únicos y algunos ajustes de perfil, como uno que permite a un usuario ser un seguidor público o anónimo.

Los pasos que hicieron posible explotar la vulnerabilidad

¿Cómo podría el hacker explotar la vulnerabilidad? Estos son los diversos pasos:

  1. El atacante creó una lista de dispositivos con sus IDs, que luego se utilizaron para consultar servidores TikTok.
  2. A continuación, creó una lista de tokens de sesión (cada uno válido durante 60 días) que se utilizará para consultar servidores TikTok.
  3. Se pasó por alto el mecanismo HTTP de firma digital de TikTok utilizando su servicio de firma, que se ejecutó en segundo plano.
  4. Finalmente, lo empató todo modificando las solicitudes HTTP, volviendo a firmarlas y usando varios tokens e identificaciones para eludir los sistemas de defensa de TikTok.

Comunicación del Jefe de Investigación de Check Point y TikTok

Check Point Researc comunicó sus hallazgos a ByteDance, la empresa detrás de TikTok. Después de eso, se lanzó una actualización para garantizar la seguridad de los usuarios de TikTok.

TikTok: Una grave vulnerabilidad a los datos confidenciales de los usuarios descubiertos

Comentario de Oded Vanunu, Jefe de Investigación de Vulnerabilidades de Productos en Check Point:

Nuestra lógica esta vez era probar la privacidad de TikTok. Teníamos curiosidad acerca de si la plataforma podría ser utilizada por los piratas informáticos para obtener datos de usuarios privados; y la respuesta es sí, ya que pudimos eludir más mecanismos de defensa que TikTok. Esta vulnerabilidad podría haber permitido a un atacante para construir una base de datos detallada de los usuarios que, con ese grado de información sensible, permitiría al atacante realizar una serie de actividades delictivas como spear phishing. Nuestro consejo a los usuarios de TikTok, y no sólo, es compartir sus datos personales sólo cuando sea estrictamente necesario y sobre todo para actualizar siempre el sistema operativo y las aplicaciones a las últimas versiones.

TikTok declaró:

La seguridad y privacidad de la comunidad TikTok tiene nuestra máxima prioridad, y apreciamos el trabajo de socios de confianza como Check Point en la identificación de posibles problemas para que podamos resolverlos antes de que lleguen a los usuarios. Seguimos fortaleciendo nuestras defensas, tanto actualizando constantemente nuestras capacidades internas, como invertir en defensas de automatización, como trabajando con terceros.

¿Qué te parece? Haznos saber en los comentarios y sigue siguiéndonos en las páginas de Enredandote.com donde podrás encontrar las últimas noticias y más.

0 0 vote
Puntuación de la entrada
Subscribe
Notify of
0 Comentarios
Inline Feedbacks
View all comments
A %d blogueros les gusta esto: