¡atención usuarios!
Descubren vulnerabilidad crítica en TikTok que expuso los datos de millones de usuarios
Los hackers pueden acceder al número de teléfono, nombre, foto de perfil, avatar, identificaciones únicas e incluso la configuración del perfil, violando la privacidad de sus usuarios.
Investigadores de Check Point Research descubrieron una vulnerabilidad crítica en TikTok, la aplicación móvil con más de 1 billón de usuarios en más de 150 países.
El fallo de seguridad se encuentra en la función “Encontrar amigos”, a través de la cual un hacker podía acceder a la información del perfil del usuario (número de teléfono, nombre, foto de perfil, avatar, identificaciones únicas e incluso configuración del perfil) lo que permite crear una base de datos que posteriormente podría utilizarse para actividades maliciosas.
Es importante recordar que TikTok es una de las aplicaciones que más rápido ha crecido en los últimos tiempos (de hecho, fue la app más descargada en España en 2020), y encuentra en los jóvenes su principal público.
Este servicio permite a sus usuarios crear y guardar videos privados suyos y de sus seres queridos (que pueden tener contenido muy sensible). Sin embargo, estas aplicaciones encubren muchos riesgos para la privacidad, ya que en enero de 2020 Check Point alertó de un fallo de seguridad que permitía a los ciberdelincuentes manipular datos (añadir/eliminar vídeos), alterar la privacidad del usuario (cambiar la configuración de la privacidad de los vídeos de privada a pública) y acceder y extraer datos personales (nombre completo, dirección de correo electrónico, cumpleaños, etc.) guardados en estas cuentas.
La vulnerabilidad se explota de la siguiente manera:
- El hacker crea una lista de dispositivos (IDs de dispositivos) que se utilizarán para consultar los servidores de TikTok.
- Crear una lista de tokens de sesión (cada token de sesión es válido durante 60 días) que se utilizarán para consultar los servidores de TikTok.
- Evitar el mecanismo de firma de mensajes HTTP de TikTok utilizando su propio servicio de firma ejecutado en segundo plano.
- Une todos estos elementos para modificar las peticiones HTTP, reasignarlas y utilizar varios tokens de sesión e IDs de dispositivos para saltarse los mecanismos de protección de TikTok.
