TikTok y es una aplicación lanzada hace unos años, que se ha vuelto «viral» y permite crear videos creativos capaces de entretener con efectos especiales. Los investigadores de Check Point Research han encontrado una falla en el sistema de envío de SMS de la aplicación. Por esa falla un hacker puede cargar y eliminar videos, pero también cambia la privacidad o lee toda la información de la cuenta privada.
No solo la simplicidad del ataque es preocupante, sino también las consecuencias. Al explotar el sistema TikTok SMS, puede enviar un enlace malicioso a un usuario desprevenido, a través del cual no solo puede cargar y eliminar videos, sino también hacer cambios en la privacidad. Aprovechando esta vulnerabilidad el atacante puede hacer que cualquier video aparezca en el tablón de anuncios del usuario sin su conocimiento. Cambiar la visibilidad de «solo amigos» a «público», colocando el cuadrado videos privados, tal vez de un adolescente. Los datos del perfil podrían obtenerse sin dificultad. Nombre y apellidos, dirección de correo electrónico. Todo a disposición de los hackers. Diariamente hay noticias sobre filtraciones de datos, pero en este caso estamos hablando de niños y adolescentes, al menos en la mayoría de los casos.
Tik Tok: la solución es actualizar la aplicación
A nivel técnico, lo que han comprobado los expertos de Check Point Research es la posibilidad de que los atacantes «inyecten y ejecuten un código malicioso capaz de redirigir al usuario víctima a un sitio web peligroso que parece ser idéntico a tiktok.com».
La violación de seguridad descubierta se envió a ByteDance o a la compañía propietaria de TikTok, que ha tomado medidas para resolver el problema de seguridad y actualizar las aplicaciones sociales en Android e iOS, haciendo que todo vuelva a la normalidad, al menos por ahora.
¿Cómo fue técnicamente posible?
Para descargar TikTok, los nuevos usuarios reciben un enlace de descarga por SMS después de ingresar su número de móvil en el sitio. Un pirata informático podría potencialmente manipular y enviar mensajes a cualquier número de teléfono celular, pretendiendo ser TikTok, enviando y ejecutando códigos maliciosos para llevar a cabo operaciones no deseadas, como eliminar videos, cargar videos no autorizados y cambiar la configuración de privacidad del video de privado a público.
Además, los investigadores de Check Point han aprendido que un hacker puede mover a la fuerza a un usuario de TikTok a un servidor controlado, lo que le permite enviar solicitudes no deseadas del usuario. El hacker podría usar la misma técnica para secuestrar a su víctima en un sitio web peligroso disfrazado de Tiktok.com. El secuestro abre la capacidad de realizar falsificaciones de solicitudes entre sitios (CSRF), secuencias de comandos entre sitios (XSS) y ataques de exposición de datos confidenciales, sin su consentimiento.
La importancia de TikTok es hoy alta en el mundo social. La aplicación con su mundo de videos con efectos especiales, según las estimaciones de SensorTower, parece haber sido descargada por más de mil millones y medio de usuarios, convirtiéndose en la tercera más descargada después de WhatsApp y Messenger e incluso frente a Facebook e Instagram. La aplicación está disponible en más de 150 países con más de 75 idiomas diferentes. Definitivamente una aplicación «especial» para hackers que la están atacando más que otras plataformas. El consejo en este punto es actualizar la aplicación si aún no lo ha hecho a través de las tiendas oficiales de Apple y Google y no a través de terceros.
Origen: Hardware Upgrade
