Investigadores demuestran cómo hackear cualquier cuenta de TikTok enviando SMS

hackear cuentas de titktok

Tik Tokla tercera aplicación más descargada en 2019, está bajo un intenso escrutinio sobre la privacidad de los usuarios, censurando contenido políticamente controvertido y por motivos de seguridad nacional, pero aún no ha terminado, ya que la seguridad de miles de millones de usuarios de TikTok estaría ahora en entredicho.

La famosa aplicación viral china para compartir videos contenía vulnerabilidades potencialmente peligrosas que podrían haber permitido a los atacantes remotos secuestrar cualquier cuenta de usuario con solo conocer el número de teléfono móvil de las víctimas objetivo.

En un informe compartido de forma privada con The Hacker News, los investigadores de seguridad cibernética de Check Point revelaron que encadenar múltiples vulnerabilidades les permitía ejecutar código malicioso de forma remota y realizar acciones no deseadas en nombre de las víctimas sin su consentimiento.

Las vulnerabilidades informadas incluyen problemas de baja gravedad como la suplantación de enlaces de SMS, la redirección abierta y las secuencias de comandos entre sitios (XSS) que, cuando se combinan, podrían permitir que un atacante remoto realice ataques de alto impacto, que incluyen:

  • elimine cualquier video del perfil TikTok de las víctimas,
  • subir videos no autorizados al perfil TikTok de las víctimas,
  • hacer videos privados «ocultos» públicos,
  • revelar información personal guardada en la cuenta, como direcciones privadas y correos electrónicos.

El ataque aprovecha un sistema de SMS inseguro que TikTok ofrece en su sitio web para permitir que los usuarios envíen un mensaje a su número de teléfono con un enlace para descargar la aplicación para compartir videos.

Según los investigadores, un atacante puede enviar un mensaje SMS a cualquier número de teléfono en nombre de TikTok con una URL de descarga modificada a una página maliciosa diseñada para ejecutar código en un dispositivo objetivo con la aplicación TikTok ya instalada.

técnicas de hackeo de cuentas tiktok

hackear cuenta tiktok

Cuando se combina con problemas de redirección abierta y secuencias de comandos entre sitios, el ataque podría permitir a los piratas informáticos ejecutar código JavaScript en nombre de las víctimas tan pronto como hagan clic en el enlace enviado por el servidor TikTok a través de SMS, como se muestra en el video de demostración que Check Point compartió con The Noticias de piratas informáticos.

La técnica se conoce comúnmente como ataque de falsificación de solicitudes entre sitios, en el que los atacantes engañan a los usuarios autenticados para que ejecuten una acción no deseada.

«Con la falta de un mecanismo de falsificación de solicitud anti-Cross-Site, nos dimos cuenta de que podíamos ejecutar código JavaScript y realizar acciones en nombre de la víctima, sin su consentimiento», dijeron los investigadores en una publicación de blog publicada hoy.

«Redireccionar al usuario a un sitio web malicioso ejecutará código JavaScript y realizará solicitudes a Tiktok con las cookies de las víctimas».

Check Point informó responsablemente estas vulnerabilidades a ByteDance, el desarrollador de TikTok, a fines de noviembre de 2019, quien luego lanzó una versión parcheada de su aplicación móvil dentro de un mes para proteger a sus usuarios de los piratas informáticos.

Si no está ejecutando la última versión de TikTok disponible en las tiendas de aplicaciones oficiales para Android e iOS, le recomendamos que la actualice lo antes posible.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática