Visto: 671

Vulnerabilidad en TikTok expone datos de millones de usuarios

Inicio desactivadoInicio desactivadoInicio desactivadoInicio desactivadoInicio desactivado
 

Check Point Research, la división de Inteligencia de Amenazas de Check Point Software Technologies Ltd., ha descubierto y reportado múltiples vulnerabilidades críticas en la aplicación/comunidad en línea TikTok.

La cual acumula más de mil millones de usuarios alrededor del mundo. Estos fallos de seguridad permitirían a los cibercriminales manipular datos (añadir/eliminar vídeos), alterar la privacidad del usuario (cambiar la configuración de la privacidad de los vídeos de privada a pública) y acceder y extraer datos personales (nombre completo, dirección de correo electrónico, cumpleaños, etc.) guardada en estas cuentas.

TikTok es una de las aplicaciones que más rápido ha crecido en los últimos tiempos (de hecho, es la tercera aplicación más descargada en todo el mundo, solo por detrás de WhatsApp y Messenger), y encuentra en los jóvenes su principal público. Este servicio permite a sus usuarios crear y guardar videos privados suyos y de sus seres queridos (que pueden tener contenido sensible).

Para descargar TikTok, un nuevo usuario recibe un enlace de descarga vía SMS y, tras esto, debe introducir su número de teléfono. Durante la investigación, los expertos de Check Point descubrieron que un atacante podía suplantar la identidad de la aplicación y enviar un SMS falso con un enlace malicioso. Cuando el usuario hace clic, permite al cibercriminal hacerse con la cuenta TikTok y manipular su contenido borrando archivos, subiendo vídeos no autorizados y haciendo público contenido privado u “oculto” del usuario. 

Por otra parte, los investigadores de la compañía descubrieron que un hacker puede forzar a un usuario de TikTok a entrar en un servidor web que se encuentra bajo su control, haciendo posible que el atacante envíe solicitudes no deseadas en nombre del usuario. Asimismo, la investigación puso de manifiesto que el subdominio de Tiktok https://ads.tiktok.com era vulnerable a los ataques XSS, un tipo de ciberamenaza en el que se inyectan scripts maliciosos en sitios web que de otra manera serían de confianza. 

Los expertos de Check Point aprovecharon esta vulnerabilidad para recuperar la información personal guardada en las cuentas de los usuarios, incluidas las direcciones de correo electrónico privadas y las fechas de nacimiento. Afortunadamente para los usuarios, la compañía informó a los desarrolladores sobre estas fallas de seguridad, mismas que ya han sido solucionadas a través de diversas actualizaciones. 

No obstante, este caso pone de manifiesto la necesidad de proteger los smartphones con aplicaciones y servicios que garanticen la seguridad de los datos personales de los usuarios. Check Point, por ejemplo, ofrece su premiada solución SandBlast Mobile, la cual evita los ataques de robo de información en todas las aplicaciones, correo electrónico, SMS, iMessage y aplicaciones de mensajería instantánea. Además, evita el acceso a sitios web maliciosos y la comunicación del dispositivo con botnets, para lo cual valida el tráfico en el propio dispositivo sin enrutar los datos a través de un gateway corporativo.