Descubren vulnerabilidad en TikTok

La compañía de ciberseguridad Check Point advirtió que ha descubierto múltiples vulnerabilidades críticas en TikTok , una aplicación móvil con millones de usuarios en más de 150 países.

De acuerdo con un comunicado de la firma estos fallos de seguridad permitirían a los cibercriminales manipular datos (añadir o eliminar videos), alterar la privacidad del usuario (cambiar la configuración de la privacidad de los videos de privada a pública) y extraer datos personales guardados en las cuentas. (nombre completo, dirección de correo electrónico, cumpleaños, etc.).

El problema no es menor tomando en cuenta que TikTok es una de las aplicaciones que más rápido ha crecido en los últimos tiempos (de hecho, es la tercera aplicación más descargada en todo el mundo, sólo por detrás de WhatsApp y Messenger), y encuentra en los jóvenes su principal público.

La aplicación permite a sus usuarios crear y publicar videos de corta duración. Sin embargo, también cuenta con una función para guardar videos privados que pueden tener contenido muy sensible.

Pese a su popularidad, la seguridad de la app ya ha sido cuestionada. De hecho, esta semana, el ejército de los Estados Unidos ha prohibido su uso a sus soldados ya que consideraban esta aplicación como una " ciberamenaza ".

Descubren vulnerabilidad en TikTok

¿Cómo se puede caer en esta vulnerabilidad?

Para descargar TikTok , un nuevo usuario recibe un enlace de descarga vía SMS y, tras esto, debe introducir su número de teléfono. Durante la investigación, los expertos de Check Point descubrieron que un atacante podía suplantar la identidad de la aplicación y enviar un SMS falso con un enlace malicioso. Cuando el usuario hace clic, permite al cibercriminal hacerse con la cuenta TikTok y manipular su contenido borrando archivos, subiendo videos no autorizados y haciendo público contenido privado u “oculto” del usuario.

Por otra parte, los investigadores de la compañía descubrieron que un hacker puede forzar a un usuario de TikTok a entrar en un servidor web que se encuentra bajo su control, haciendo posible que el atacante envíe solicitudes no deseadas en nombre del usuario.

Asimismo, la investigación puso de manifiesto que el subdominio de Tiktok https://ads.tiktok.com era vulnerable a los ataques XSS, un tipo de ciberamenaza en el que se inyectan scripts maliciosos en sitios web que de otra manera serían de confianza.

Descubren vulnerabilidad en TikTok

Los expertos de Check Point aprovecharon esta vulnerabilidad para recuperar la información personal guardada en las cuentas de los usuarios, incluidas las direcciones de correo electrónico privadas y las fechas de nacimiento.

Tras esto, la compañía informó a los desarrolladores de la aplicación de las vulnerabilidades encontradas durante la investigación, que ya han sido subsanadas, por lo que los usuarios pueden hacer uso normal del servicio.

Este nuevo caso pone de manifiesto la necesidad de dotar a los smartphones de medidas de seguridad que garanticen la privacidad del usuario como una solución contra amenazas móviles avanzadas que controlar todo el tráfico de red del dispositivo y evita los ataques de robo de información en todas las aplicaciones.