Investigadores de Check Point Research, la División de Inteligencia de Amenazas de la compañía de ciberseguridad Check Point Software Technologies Ltd., han descubierto una vulnerabilidad crítica en TikTok, una de las aplicaciones sociales más populares de la actualidad con más de mil millones de usuarios en más de 150 países.
El fallo de seguridad se encuentra concretamente en la función "Encontrar amigos" y, según informa Check Point, permitiría a los ciberdelincuentes acceder a la información del perfil de los usuarios. Esta incluye el número de teléfono, nombre, foto de perfil, avatar, identificaciones únicas e incluso la configuración del perfil, lo que posibilita crear una base de datos que posteriormente podría utilizarse para actividades maliciosas.
Cómo se explota esta vulnerabilidad
Según explica Check Point en un comunicado, la vulnerabilidad detectada por sus investigadores se explota de la siguiente manera:
- El cibercriminal crea una lista de dispositivos (IDs de dispositivos) que se utilizarán para consultar los servidores de TikTok.
- Crear una lista de tokens de sesión (cada token de sesión es válido durante 60 días) que se utilizarán para consultar los servidores de TikTok.
- Evitar el mecanismo de firma de mensajes HTTP de TikTok utilizando su propio servicio de firma ejecutado en segundo plano.
- Une todos estos elementos para modificar las peticiones HTTP, reasignarlas y utilizar varios tokens de sesión e IDs de dispositivos para saltarse los mecanismos de protección de TikTok.
"En esta ocasión, el estudio que hemos llevado a cabo sobre esta aplicación tenía como objetivo explorar la privacidad de TikTok y saber si la plataforma podía utilizarse para obtener datos privados de los usuarios. Descubrimos que, efectivamente, es posible, ya que hemos podido eludir múltiples mecanismos de protección de TikTok", ha señalado Oded Vanunu, Jefe de Investigación de Vulnerabilidad de Productos de Check Point.
"La vulnerabilidad podría haber permitido a un atacante crear una base de datos con información de los usuarios y sus respectivos números de teléfono, gracias a la cual un ciberdelincuente podría realizar una serie de actividades maliciosas, como el spear phishing. Por este motivo, desde Check Point aconsejamos a los usuarios de TikTok que eviten compartir sus datos personales, y que actualicen su sistema operativo y sus aplicaciones con las últimas versiones para estar protegidos frente a este fallo de seguridad", ha agregado Vanunu.
TikTok asegura que el fallo ya está reparado
Check Point también declara haber compartido su descubrimiento con ByteDance, la empresa responsable de TikTok, junto a una serie de recomendaciones para solventar esta vulnerabilidad. Según ha asegurado TikTok a Business Insider, el error ha sido reparado.
"La seguridad y privacidad de la comunidad en TikTok son nuestra máxima prioridad. Apreciamos los esfuerzos de Check Point de identificar problemas potenciales para que podamos resolverlos antes de que tengan un impacto en los usuarios. Seguimos invirtiendo en fortalecer nuestras defensas para minimizar este tipo de ataques", ha afirmado la compañía china.
No es la primera vulnerabilidad que detecta en TikTok
En su comunicado, Check Point también recuerda que este no es el primer fallo de seguridad que detecta en TikTok. En enero de 2020 también alertó de otro, que permitía a los ciberdelincuentes manipular datos (añadir/eliminar vídeos), alterar la privacidad del usuario (cambiar la configuración de la privacidad de los vídeos de privada a pública) y acceder y extraer datos personales (nombre completo, dirección de correo electrónico, cumpleaños, etc.) guardados en estas cuentas.
Al margen de estas vulnerabilidades, cabe recordar que TikTok también ha sido noticia en los últimos días por la orden que le han impuesto en Italia tras la trágica muerte de una niña de 10 años en un reto viral.