Los errores de TikTok ponen en riesgo los videos y datos personales de los usuarios



Los investigadores descubrieron que period posible falsificar mensajes SMS de TikTok y explotar una falla de API que podría otorgar acceso a los datos personales de los usuarios.

Los analistas de Test Issue Analysis han descubierto múltiples vulnerabilidades en la aplicación para compartir movies TikTok que podrían haber permitido a los atacantes manipular los video clips de los usuarios y acceder a información private. ByteDance, el desarrollador detrás de TikTok, ha implementado soluciones para estos defectos.

TikTok permite a su enorme base de usuarios, principalmente adolescentes y niños, grabar, guardar y compartir films que pueden elegir hacer públicos o privados. La aplicación tiene más de mil millones de usuarios globales y disponibilidad en más de 150 mercados y 75 idiomas. A partir de octubre de 2019, informan los investigadores, TikTok fue una de las aplicaciones descargadas con más frecuencia en todo el mundo.

Las vulnerabilidades descubiertas en Examine Place podrían permitir a los intrusos acceder a las cuentas de TikTok y manipular su contenido. Los atacantes pueden eliminar video clips subir movies no autorizados hacer públicos los films privados y datos de acceso incluyendo nombre completo, dirección de correo electrónico y fecha de nacimiento.

«Encontramos una cadena de vulnerabilidades», dice Oded Vanunu, jefe de investigación de vulnerabilidad de productos en Check out Stage. «Toda la lógica empresarial de la aplicación tenía una gran falta de seguridad. Vimos que fácilmente, los malos actores pueden tomar el handle de una cuenta, cambiar films de privados a públicos (y) filtrar información privada. En esta plataforma, esto es un gran problema «.

Uno de los posibles vectores de ataque es la suplantación de enlaces SMS: un error en la infraestructura de la aplicación permitió enviar un mensaje SMS a cualquier número de teléfono en nombre de TikTok. Los usuarios que visitan el sitio internet de TikTok pueden ingresar su número de teléfono para recibir un mensaje de texto con un enlace para descargar la aplicación. Un atacante podría explotar este proceso para falsificar SMS a través de la infraestructura de TikTok y enviar un enlace malicioso a posibles víctimas Si se hace clic, el atacante podría tener acceso a sus films.

«Una vez que (el atacante) envía un SMS a un usuario y agrega alguna URL proveniente de TikTok, el usuario hace clic en la URL y el atacante tiene la cuenta», explica Vanunu, y señala que un atacante también podría engañar a TikTok para enviar un enlace malicioso a través de WhatsApp , Gmail u otra aplicación de mensajería.

Los investigadores también descubrieron que period posible enviar a las víctimas un enlace que podría redirigirlas a un sitio net malicioso, un proceso que crea la posibilidad de secuencias de comandos entre sitios (XSS), falsificación de solicitudes (CSRF) y ataques de exposición de datos confidenciales sin el consentimiento del usuario. A través de XSS y la suplantación de enlaces, podrían ejecutar código JavaScript en nombre de cualquier víctima que haga clic en un enlace malicioso.

Además de descubrir formas de agregar y eliminar videos, así como cambiar videos de privado a público, los investigadores encontraron varias llamadas API en diferentes subdominios de TikTik. Hacer solicitudes a estas API podría revelar información confidencial, incluidos los datos de pago de los usuarios, la dirección de correo electrónico y la fecha de nacimiento. Los usuarios generalmente no tienen indicación de que su cuenta está siendo manipulada a menos que detecten videos no autorizados o noten que el contenido privado se ha cambiado a público, dice Vanunu.

Una vez que el equipo analizó estas vulnerabilidades, llevaron sus hallazgos a TikTok en noviembre de 2019. ByteDance tardó de 2 a 3 semanas en solucionar los errores y los problemas de infraestructura que descubrieron.

«TikTok se compromete a proteger los datos de los usuarios», dice Luke Deshotels, PhD, del equipo de seguridad de TikTok en un comunicado a Verify Place. «Al igual que muchas organizaciones, alentamos a los investigadores de seguridad responsables a que nos divulguen de manera privada las vulnerabilidades de día cero. Antes de la divulgación pública, Test Stage acordó que todos los problemas informados fueron parcheados en la última versión de nuestra aplicación».

Checkun ha pasado los últimos dos años investigando tecnologías y plataformas que sirven a cientos de millones de usuarios, dice Vanunu. «Estamos viendo claramente, en el ciberespacio, que los malos actores están haciendo un gran esfuerzo financiero y, desde una perspectiva de investigación, para encontrar vulnerabilidades en estas plataformas para distribuir actividades maliciosas».

Esta no es la primera vez que TikTok, de propiedad china, ha provocado preocupaciones de seguridad: a fines del año pasado, los legisladores estadounidenses pidieron una evaluación de los riesgos planteados por la aplicación, que temen que pueda dar a la inteligencia china un medio para espiar los teléfonos de los usuarios. El ejército de los EE. UU., Que una vez utilizó TikTok como herramienta de reclutamiento, ha prohibido soldados de usar la aplicación. Ahora se considera una amenaza para la seguridad.

Contenido relacionado:

Kelly Sheridan es la Editora de personal de Dim Looking at, donde se enfoca en noticias y análisis de seguridad cibernética. Ella es una periodista de tecnología de negocios que informó anteriormente para InformationWeek, donde cubrió Microsoft, y Insurance coverage & Know-how, donde cubrió asuntos financieros … Ver biografía completa

Más strategies





Enlace a la noticia unique