TikTok corrige fallas de seguridad que podrían haber permitido a los piratas informáticos manipular cuentas, acceder a datos personales
Los investigadores de Check Point descubrieron 'múltiples' lagunas de seguridad en una de las aplicaciones móviles más populares del mundo.
Múltiples vulnerabilidades en una de las aplicaciones móviles más populares del mundo podrían haber permitido a los atacantes manipular cuentas de usuario y exponer datos personales, incluidos nombres, direcciones de correo electrónico y fechas de nacimiento.
Descubiertos por los investigadores de CheckPoint, las vulnerabilidades de seguridad en la aplicación de intercambio de videos y redes sociales TikTok, que ha sido descargada por más de mil millones de usuarios de Android y iPhone en todo el mundo, podrían haber puesto en riesgo la privacidad de sus usuarios.
Si bien los investigadores no pueden estar seguros de si se han explotado las lagunas de seguridad, Check Point ha colaborado con TikTok para corregir las vulnerabilidades y asegurarse de que no puedan ser utilizadas por piratas informáticos.
La primera vulnerabilidad descubierta por los investigadores fue en la funcionalidad de SMS de la aplicación TikTok. Para ayudar a los usuarios a instalar la aplicación, el sitio web les permite enviarse un mensaje de texto con un enlace para descargarla. Sin embargo, se descubrió que los atacantes podían explotar esto con fines maliciosos.
Este ataque requiere que el atacante sepa el número de teléfono de la víctima prevista; Esto podría ser a través de estar conectado a ellos de alguna manera, obteniéndolo a través de ingeniería social o phishing, o de una lista de números robada o pública. El ataque es anónimo y no revela la identidad del atacante.
Al editar el parámetro de descarga de la URL, el atacante puede enviar un mensaje SMS falsificado que contiene un enlace malicioso propiedad del atacante.
Sin embargo, esa no es la única vulnerabilidad descubierta por los investigadores, ya que descubrieron que el subdominio de TikTok Ads del sitio web oficial de TikTok era vulnerable a los ataques de Cross-Site Scripting (XSS), permitiendo a los atacantes inyectar scripts maliciosos que podrían apuntar a los usuarios a través de un dominio confiable.
Los investigadores descubrieron que era posible manipular este dominio al usar la funcionalidad de búsqueda del centro de ayuda de TikTok Ads al ingresar el código en la dirección de los resultados de búsqueda.
Al combinarlos, es posible que el atacante manipule la cuenta TikTok de la víctima. Podrían eliminar videos, podrían hacer públicos los videos privados o publicar sus propios videos.
Sin embargo, la manipulación de cuentas no es el único riesgo potencial de las vulnerabilidades ya que los investigadores descubrieron que era posible combinar las vulnerabilidades de SMS y XSS para recuperar información confidencial no destinada al consumo público, incluido su nombre, dirección de correo electrónico y fecha de nacimiento.
"Las aplicaciones de las redes sociales son muy vulnerables a las vulnerabilidades, ya que proporcionan una buena fuente de datos personales y privados y ofrecen una gran superficie de ataque. Los actores maliciosos están gastando grandes cantidades de dinero y tiempo para tratar de penetrar estas aplicaciones enormemente populares, aunque la mayoría de los usuarios son bajo el supuesto de que están protegidos por la aplicación que están utilizando ", dijo Oded Vanunu, jefe de investigación de vulnerabilidad de productos en Check Point.
Sin embargo, después de descubrir las vulnerabilidades a fines del año pasado, Check Point las reveló a la empresa matriz china de TikTok, ByteDance, que trabajó rápidamente e implementó una actualización para solucionar las lagunas de seguridad.
TikTok confirmó a ZDNet que habían trabajado con Check Point para solucionar el problema.
"TikTok se compromete a proteger los datos de los usuarios. Al igual que muchas organizaciones, alentamos a los investigadores de seguridad responsables a que nos revelen de manera privada las vulnerabilidades de día cero", dijo Luke Deshotels, ingeniero de seguridad de TikTok.
"Antes de la divulgación pública, CheckPoint estuvo de acuerdo en que todos los problemas reportados fueron parcheados en la última versión de nuestra aplicación. Esperamos que esta resolución exitosa fomente la futura colaboración con los investigadores de seguridad", agregó.
Para protegerse contra las víctimas de ataques que explotan las vulnerabilidades descubiertas por los investigadores, los usuarios deben actualizar su aplicación TikTok a la última versión si aún no lo han hecho.