TikTok corrige fallas que permiten el robo de información privada del usuario

TikTok corrige fallas que permiten el robo de información privada del usuario

Imagen: Christoph Scholz

ByteDance, la empresa de tecnología detrás de TikTok, ha abordado una vulnerabilidad de seguridad en el servicio de redes sociales para compartir videos que podría haber permitido a los atacantes robar información personal privada de los usuarios.

TikTok tiene servidores en los países donde operan sus aplicaciones iOS y Android y se utiliza para compartir videos móviles en bucle de formato corto de 3 a 60 segundos.

La aplicación de Android de la plataforma tiene más de mil millones de instalaciones según las estadísticas de Google Play Store y también cruzó 2 mil millones de descargas en todas las plataformas móviles en abril de 2020 de acuerdo con las estadísticas de Sensor Tower Store Intelligence.

Datos privados de usuarios expuestos al robo de datos

La vulnerabilidad de seguridad encontrada por los investigadores de Check Point en ‘Find Friends’ de TikTok permitió a los atacantes eludir las protecciones de privacidad de la plataforma, lo que les permitió acceder a la información personal privada de los usuarios, incluidos, entre otros, números de teléfono e ID de usuario.

«Los detalles del perfil a los que se pudo acceder a través de la vulnerabilidad incluyen el número de teléfono, el apodo, las imágenes de perfil y avatar, las ID de usuario únicas, así como ciertas configuraciones de perfil, como si un usuario es un seguidor o si el perfil del usuario está oculto» Check Point dice.

La información del usuario extraída y recopilada en ataques que habrían aprovechado esta vulnerabilidad de TikTok podría usarse posteriormente para lanzar ataques de phishing y otros tipos de actividad maliciosa.

Para aprovechar este error y eludir las defensas de privacidad de TikTok, los atacantes tendrían que:

  1. Cree una lista de dispositivos (ID de dispositivo) que se utilizarán para consultar los servidores de TikTok.
  2. Crea una lista de tokens de sesión (cada token de sesión es válido por 60 días) que se utilizará para consultar los servidores de TikTok.
  3. Omita el mecanismo de firma de mensajes HTTP de TikTok utilizando su propio servicio de firma, ejecutado en segundo plano.
  4. Encadénelo todo modificando las solicitudes HTTP, resignelas y use varios tokens de sesión e ID de dispositivo para evitar los mecanismos de protección de TikTok.

La información detallada sobre cómo se podría explotar la vulnerabilidad para robar la información privada de los usuarios de TikTok está disponible en Informe de Check Point compartido con BleepingComputer por adelantado.

Vulnerabilidad ahora arreglada

ByteDance abordó la vulnerabilidad de TikTok luego de la divulgación responsable de Check Point, bloqueando futuros intentos de eludir las salvaguardas de privacidad de la plataforma y robando los datos privados de los usuarios.

«Un atacante con ese grado de información sensible podría realizar una variedad de actividades maliciosas, como spear phishing u otras acciones criminales», dijo Oded Vanunu, Jefe de Investigación de Vulnerabilidades de Productos. «Nuestro mensaje para los usuarios de TikTok es compartir lo mínimo cuando se trata de sus datos personales».

«La seguridad y la privacidad de la comunidad de TikTok es nuestra máxima prioridad y apreciamos el trabajo de socios confiables como Check Point en la identificación de problemas potenciales para que podamos resolverlos antes de que afecten a los usuarios», dijo un portavoz de TikTok en un comunicado.

«Continuamos fortaleciendo nuestras defensas, tanto mejorando constantemente nuestras capacidades internas, como invirtiendo en defensas de automatización, como trabajando con terceros».

Vulnerabilidades previamente parcheadas

En enero de 2020, TikTok abordó otro lote de vulnerabilidades de seguridad en su infraestructura reveladas por los investigadores de Check Point a fines de noviembre de 2019 y permitió a los atacantes secuestrar cuentas, manipular videos de usuarios y robar su información.

Para aprovechar esas vulnerabilidades, los atacantes podrían abusar del sistema de SMS de TikTok, lo que hizo posible eliminar videos, hacer públicos los videos privados de los usuarios y robar sus datos personales confidenciales.

TikTok también corrigió dos errores de seguridad en noviembre de 2020 que podrían haber permitido a los piratas informáticos hacerse cargo de las cuentas de los usuarios que se registraron a través de aplicaciones de terceros con un solo clic.

En abril de 2020, TikTok lanzó un programa privado de recompensas por errores y un Programa de recompensas de errores de HackerOne en octubre de 2020 alentando a los investigadores de seguridad a revelar de manera responsable cualquier error de seguridad que encuentren en las aplicaciones móviles y web de TikTok.

Escrito por Juan Delgado

Fan de los juegos FPS, pero sin duda, fanático de Call Of Duty. Cualquier noticia y rumor acerca del juego es más que probable que ya lo sepa el antes que nadie

Loading…

0
Vulnerabilidades de seguridad de día cero de iOS
Apple advierte sobre 3 vulnerabilidades de seguridad de día cero de iOS explotadas en la naturaleza
Aaron Hutton encarcelado en la web oscura
Hombre encarcelado por intentar comprar una niña de 3 años en la web oscura
Back to Top

Send this to a friend