Descubiertos graves fallos de seguridad en TikTok que daban acceso casi total a un atacante

La app TikTok, lanzado inicialmente en 2017, se ha consolidado rápidamente como una de las apps sociales más populares, alcanzando una cifra de 1.500 millones de descargas el año pasado.

La app es propiedad de ByteDance, con sede en Pekín, y ha acaparado algunos titulares últimamente por dudas sobre su privacidad. De hecho, el departamento de Defensa de Estados Unidos ha prohibido el uso de esta aplicacion en los smartphones proporcionados a sus trabajadores.

La empresa de seguridad Check Point Research ha publicado un informe sobre graves vulnerabilidades de seguridad presentes en TikTok que ya han sido solucionadas por ByteDance. Estos fallos podrían haber permitido a los hackers no sólo acceder a los datos personales de los usuarios, sino también manipular el estado de sus perfiles y vídeos.

El siguiente video muestra estas vulnerabilidades en acción desde la perspectiva de los hackers y sus víctimas:

Estas son las acciones que un atacante podía realizar antes de que los fallos fueran corregidos por la compañía:

• Obtener una cuenta de TikTok y manipular su contenido
• Eliminar vídeos
• Cargar videos no autorizados
• Hacer públicos los videos privados «ocultos».
• Revelar la información personal guardada en la cuenta, como las direcciones de correo electrónico privadas

En una declaración a ZDNet, Luke Deshotels, ingeniero de seguridad de TikTok, ha comentado sobre este hallazgo.

TikTok se compromete a proteger los datos de los usuarios. Como muchas organizaciones, animamos a los investigadores de seguridad responsables a que nos revelen en privado las vulnerabilidades de día cero. Antes de la divulgación pública, CheckPoint aceptó que todos los problemas reportados fueran parcheados en la última versión de nuestra aplicación. Esperamos que esta exitosa resolución fomente la futura colaboración con los investigadores de seguridad. Luke Deshotels, ingeniero de seguridad de TikTok

Para descargar TikTok, un nuevo usuario recibe un enlace de descarga vía SMS y, tras esto, debe introducir su número de teléfono. Durante la investigación, los expertos de Check Point descubrieron que un atacante podía suplantar la identidad de la aplicación y enviar un SMS falso con un enlace malicioso. Cuando el usuario hace clic, permite al cibercriminal hacerse con la cuenta TikTok y manipular su contenido borrando archivos, subiendo vídeos no autorizados y haciendo público contenido privado u “oculto” del usuario.

Por otra parte, los investigadores de la compañía descubrieron que un hacker puede forzar a un usuario de TikTok a entrar en un servidor web que se encuentra bajo su control, haciendo posible que el atacante envíe solicitudes no deseadas en nombre del usuario. Asimismo, la investigación puso de manifiesto que el subdominio de Tiktok https://ads.tiktok.com era vulnerable a los ataques XSS, un tipo de ciberamenaza en el que se inyectan scripts maliciosos en sitios web que de otra manera serían de confianza.

Los expertos de Check Point aprovecharon esta vulnerabilidad para recuperar la información personal guardada en las cuentas de los usuarios, incluidas las direcciones de correo electrónico privadas y las fechas de nacimiento.

Aunque estas vulnerabilidades ya habían sido corregidas por TikTok antes de que se publicara hoy el informe de la investigación de Check Point, el hecho de que una brecha de datos de esta escala fuera posible plantea grandes preguntas en relación con la seguridad de los datos de los usuarios.