El error de TikTok podría haber expuesto los datos de perfil y los números de teléfono de los usuarios

falla de seguridad de tiktok

Los investigadores de ciberseguridad revelaron el martes una falla de seguridad ahora parcheada en TikTok que podría haber permitido a un atacante crear una base de datos de los usuarios de la aplicación y sus números de teléfono asociados para futuras actividades maliciosas.

Aunque esta falla solo afecta a aquellos usuarios que vincularon un número de teléfono con su cuenta o iniciaron sesión con un número de teléfono, una explotación exitosa de la vulnerabilidad podría haber resultado en una fuga de datos y una violación de la privacidad, dijo Check Point Research en un análisis compartido con The Noticias de piratas informáticos.

TikTok ha implementado una solución para abordar la deficiencia luego de la divulgación responsable de los investigadores de Check Point.

El error recién descubierto reside en la función «Buscar amigos» de TikTok que permite a los usuarios sincronizar sus contactos con el servicio para identificar a las personas potenciales a seguir.

Los contactos se cargan en TikTok a través de una solicitud HTTP en forma de una lista que consta de nombres de contacto con hash y los números de teléfono correspondientes.

La aplicación, en el siguiente paso, envía una segunda solicitud HTTP que recupera los perfiles de TikTok conectados a los números de teléfono enviados en la solicitud anterior. Esta respuesta incluye nombres de perfil, números de teléfono, fotos y otra información relacionada con el perfil.

falla de seguridad de tiktok

Si bien las solicitudes de carga y sincronización de contactos están limitadas a 500 contactos por día, por usuario y por dispositivo, los investigadores de Check Point encontraron una manera de eludir la limitación al obtener el identificador del dispositivo, las cookies de sesión establecidas por el servidor, un único token llamado «X-Tt-Token» que se establece al iniciar sesión en la cuenta con SMS y simular todo el proceso desde un emulador que ejecuta Android 6.0.1.

Vale la pena señalar que para solicitar datos del servidor de aplicaciones TikTok, las solicitudes HTTP deben incluir encabezados X-Gorgon y X-Khronos para la verificación del servidor, lo que garantiza que los mensajes no se manipulen.

Pero al modificar las solicitudes HTTP (la cantidad de contactos que el atacante desea sincronizar) y volver a firmarlas con una firma de mensaje actualizada, la falla hizo posible automatizar el procedimiento de carga y sincronización de contactos a gran escala y crear una base de datos. de cuentas vinculadas y sus números de teléfono conectados.

Esta no es la primera vez que se descubre que la popular aplicación para compartir videos contiene debilidades de seguridad.

En enero de 2020, los investigadores de Check Point descubrieron múltiples vulnerabilidades dentro de la aplicación TikTok que podrían haberse aprovechado para apoderarse de las cuentas de los usuarios y manipular su contenido, incluida la eliminación de videos, la carga de videos no autorizados, la creación de videos públicos privados «ocultos» y la revelación de información personal. guardado en la cuenta.

Luego, en abril, los investigadores de seguridad Talal Haj Bakry y Tommy Mysk expusieron fallas en TikTok que hicieron posible que los atacantes mostraran videos falsificados, incluidos los de cuentas verificadas, al redirigir la aplicación a un servidor falso que aloja una colección de videos falsos.

Eventualmente, TikTok lanzó una asociación de recompensas por errores con HackerOne en octubre pasado para ayudar a los usuarios o profesionales de seguridad a señalar problemas técnicos con la plataforma. Las vulnerabilidades críticas (puntaje CVSS 9 – 10) son elegibles para pagos de entre $ 6900 y $ 14 800, según el programa.

«Nuestra motivación principal, esta vez, fue explorar la privacidad de TikTok», dijo Oded Vanunu, jefe de investigación de vulnerabilidades de productos en Check Point. «Teníamos curiosidad por saber si la plataforma TikTok podría usarse para obtener datos privados de los usuarios. Resultó que la respuesta fue sí, ya que pudimos eludir múltiples mecanismos de protección de TikTok que conducen a la violación de la privacidad».

«Un atacante con ese grado de información confidencial podría realizar una variedad de actividades maliciosas, como el phishing selectivo u otras acciones delictivas».

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática