Las vulnerabilidades de seguridad encontradas en la aplicación china para compartir videos cortos, TikTok, permitieron a los atacantes eludir la configuración de privacidad de la plataforma y, por lo tanto, acceder a datos personales y confidenciales del usuario.
Las vulnerabilidades fueron encontradas por investigadores del desarrollador israelí de seguridad de la información Check Point en diciembre de 2019 y corregidas ahora a fines de enero.
Según los investigadores, las vulnerabilidades se encontraron en la herramienta de búsqueda de amigos (“Find Friends”, dentro de la aplicación) y el caso explorado podrían revelar números de teléfono de los usuarios que verificaron el número de teléfono (que no es obligatorio); nombre de usuario; imágenes, configuraciones y datos de perfil; además de las listas de seguidores y usuarios que el usuario está siguiendo.
“Los equipos de Check Point Research descubrieron una vulnerabilidad en la función de búsqueda de amigos de la aplicación móvil TikTok […] La explotación exitosa permitió a un atacante crear una base de datos de usuarios y sus números de teléfono relacionados”, Escriben los investigadores en un informe publicado el martes (26).
Los investigadores explican que para llevar a cabo dicho ataque, los ciberdelincuentes deben crear una lista de víctimas, con ID de usuario, crear una lista de tokens de sesión, eludir el mecanismo de firma de mensajes HTTP de TikTok y modificar las solicitudes HTTP.
ByteDance, la empresa responsable de TikTok informa que la vulnerabilidad está solucionada y que la empresa está trabajando para garantizar la privacidad de los datos de sus usuarios.
“La seguridad y privacidad de la comunidad de TikTok es nuestra máxima prioridad, y apreciamos el trabajo de socios confiables como Check Point en la identificación de posibles problemas para que podamos resolverlos antes de que afecten a los usuarios”, dijo la compañía en un comunicado.
El jefe de investigación de vulnerabilidades de productos, Oded Vanunu, dijo a Bleeping Computer que esta vulnerabilidad es especialmente peligrosa, ya que un ciberdelincuente con este nivel de información puede llevar a cabo una serie de ataques maliciosos. “Nuestro mensaje para los usuarios de TikTok es compartir lo menos posible cuando se trata de sus datos personales.”.
“Seguimos fortaleciendo nuestras defensas, actualizando constantemente nuestras capacidades internas, como invertir en defensas de automatización, y también trabajando con terceros”, concluye el vocero de ByteDance.
Fuentes: Investigación de Check Point; Computadora que suena.
See the original post at: https://thehack.com.br/tiktok-corrige-vulnerabilidade-de-seguranca-que-expos-dados-privados-de-usuarios/?rand=48889
