falla de seguridad de tiktok

El error de TikTok podría haber expuesto los datos de perfil y los números de teléfono de los usuarios

Investigadores de ciberseguridad revelaron el martes una falla de seguridad ahora parcheada en TikTok que podría haber permitido a un atacante construir una base de datos de los usuarios de la aplicación y sus números de teléfono asociados para futuras actividades maliciosas.

Aunque esta falla solo afecta a aquellos usuarios que han vinculado un número de teléfono con su cuenta o que han iniciado sesión con un número de teléfono, la explotación exitosa de la vulnerabilidad podría haber resultado en una fuga de datos y una violación de la privacidad, dijo Check Point Research en un análisis compartido con The Hacker News.

TikTok ha implementado una solución para abordar la deficiencia luego de la divulgación responsable de los investigadores de Check Point.

El error recién descubierto reside en TikTok’s «Encontrar amigos«función que permite a los usuarios sincronizar sus contactos con el servicio para identificar posibles personas a seguir.

Los contactos se cargan en TikTok a través de una solicitud HTTP en forma de una lista que consta de nombres de contactos con hash y los números de teléfono correspondientes.

La aplicación, en el siguiente paso, envía una segunda solicitud HTTP que recupera los perfiles de TikTok conectados a los números de teléfono enviados en la solicitud anterior. Esta respuesta incluye nombres de perfil, números de teléfono, fotos y otra información relacionada con el perfil.

falla de seguridad de tiktok

Si bien las solicitudes de contacto de carga y sincronización están limitadas a 500 contactos por día, por usuario y por dispositivo, los investigadores de Check Point encontraron una manera de sortear la limitación obteniendo el identificador del dispositivo, las cookies de sesión establecidas por el servidor, un token llamado «X-Tt-Token» que se configura al iniciar sesión en la cuenta con SMS y simula todo el proceso desde un emulador que ejecuta Android 6.0.1.

Vale la pena señalar que para solicitar datos del servidor de aplicaciones de TikTok, las solicitudes HTTP deben incluir los encabezados X-Gorgon y X-Khronos para la verificación del servidor, lo que garantiza que los mensajes no se manipulen.

Pero al modificar las solicitudes HTTP (la cantidad de contactos que el atacante quiere sincronizar) y volver a firmarlos con una firma de mensaje actualizada, la falla hizo posible automatizar el procedimiento de carga y sincronización de contactos a gran escala y crear una base de datos. de cuentas vinculadas y sus números de teléfono conectados.

Esta está lejos de ser la primera vez que se descubre que la popular aplicación para compartir videos contiene debilidades de seguridad.

En enero de 2020, los investigadores de Check Point descubierto múltiples vulnerabilidades dentro de la aplicación TikTok que podrían haber sido explotadas para apoderarse de cuentas de usuario y manipular su contenido, incluida la eliminación de videos, la carga de videos no autorizados, la publicación de videos privados «ocultos» y la revelación de información personal guardada en la cuenta.

Luego, en abril, los investigadores de seguridad Talal Haj Bakry y Tommy Mysk expuesto fallas en TikTok que hicieron posible que los atacantes mostraran videos falsificados, incluidos los de cuentas verificadas, al redirigir la aplicación a un servidor falso que aloja una colección de videos falsos.

Finalmente, TikTok lanzó un asociación de recompensas de errores con HackerOne en octubre pasado para ayudar a los usuarios o profesionales de la seguridad a señalar inquietudes técnicas con la plataforma. Las vulnerabilidades críticas (puntuación CVSS de 9 a 10) son elegibles para pagos entre $ 6,900 y $ 14,800, según el programa.

«Nuestra motivación principal, esta vez, fue explorar la privacidad de TikTok», dijo Oded Vanunu, jefe de investigación de vulnerabilidades de productos en Check Point. «Teníamos curiosidad por saber si la plataforma TikTok podría usarse para obtener datos privados de los usuarios. Resulta que la respuesta fue sí, ya que pudimos eludir múltiples mecanismos de protección de TikTok que conducen a una violación de la privacidad».

«Un atacante con ese grado de información confidencial podría realizar una variedad de actividades maliciosas, como spear phishing u otras acciones delictivas».

Escrito por Òscar Lombio

Siempre a la última. Cualquier noticia que esté relacionada con gadgets, tecnología o grandes corporaciones, ahí está el, al pie del cañón para informarnos

Loading…

0
Por qué nunca debería usar una VPN gratuita
Por qué nunca debería usar una VPN gratuita
Microsoft lanza nuevas actualizaciones de microcódigo de CPU Intel para Windows 10
Microsoft lanza nuevas actualizaciones de microcódigo de CPU Intel para Windows 10