Investigadores muestran cómo hackear cualquier cuenta de TikTok enviando un SMS
Investigadores de seguridad encontraron varias vulnerabilidades dentro de la infraestructura de TikTok. Estas permitieron que los atacantes potenciales secuestraran cuentas para manipular los videos de los usuarios y robar su información personal.
TikTok es una plataforma de redes sociales propiedad de ByteDance con sede en Beijing, con oficinas en todo el mundo. Los servidores están ubicados en los países donde operan sus aplicaciones iOS y Android. Esta aplicación se utiliza para compartir videos móviles en bucle de forma corta de 3 a 60 segundos.
La aplicación de Android de la plataforma actualmente tiene más de 500,000,000 de instalaciones de acuerdo con las estadísticas de Google Play Store. Además, ha alcanzado la marca de 1,5 mil millones de instalaciones en todas las plataformas móviles hasta noviembre de 2019. Esto según las estimaciones de Sensor Tower Store Intelligence.
Las aplicaciones de TikTok y su backend eran vulnerables a ataques. Esto demuestran los investigadores de Check Point en un informe compartido a principios de esta semana.
Los problemas de seguridad fueron revelados a ByteDance a fines de noviembre, y la compañía corrigió las vulnerabilidades en un mes.
El sistema de SMS de TikTok vulnerable
El sistema de SMS de TikTok permitió al equipo de investigación de Check Point manipular los datos de la cuenta agregando y eliminando videos. Demostraron problemas de intrusión en la privacidad al cambiar la configuración de privacidad del video de privado a público. Asimismo, exfiltraron datos personales del usuario, incluyendo el nombre completo, la dirección de correo electrónico y el cumpleaños.
Como lo muestra Check Point Research, los atacantes podrían haber explotado estas vulnerabilidades a través del sistema de SMS de TikTok para:
- Cargar videos no autorizados y eliminar videos de usuarios.
- Cambiar videos de usuarios de privados a públicos.
- Robar datos personales confidenciales.
Para poder realizar estas acciones maliciosas, los ciberdelincuentes podían enviar enlaces de descarga de aplicaciones al número de teléfono de cualquier usuario a través de SMS. Estos mensajes que suplantaban a TikTok les permitió inyectar y ejecutar código malicioso.
Además, los atacantes pueden redirigir a los usuarios de TikTok a un servidor web que controlan utilizando la misma táctica controlada. Esto hace posible que los hackers envíen solicitudes no deseadas en nombre de sus víctimas.
Los posibles atacantes podrían haber usado “la misma técnica para redirigir a una víctima a un sitio web malicioso similar a tiktok.com”, afirman los investigadores.
“La redirección abre la posibilidad de realizar falsificación de solicitudes entre sitios (CSRF), secuencias de comandos entre sitios (XSS). Además de ataques de exposición de datos confidenciales sin el consentimiento del usuario”.
Video – Demostración de las Vulnerabilidades en TikTok:
Este contenido se encuentra parcialmente protegido
TikTok prohibido en los teléfonos militares de Estados Unidos
La divulgación de Check Point Research llega justo después de que las unidades militares de los EE. UU., prohibieron la aplicación TikTok de propiedad china de los teléfonos inteligentes.
“Se considera una amenaza cibernética”, dijo la portavoz del ejército, teniente coronel Robin Ochoa, según un informe de Military.com del 30 de diciembre. “La aplicación no está permitida en los teléfonos del gobierno”.
La nueva guía aconseja a todos los empleados del Departamento de Defensa que también “tengan cuidado con las aplicaciones que descarguen. Además, que revisen sus teléfonos en busca de textos inusuales y no solicitados, etc., y los eliminen de inmediato. Asimismo, instan a desinstalar TikTok para evitar cualquier exposición de información personal”.
La decisión del Ejército siguió a una carta enviada por los senadores estadounidenses Chuck Schumer y Tom Cotton “al Director Interino de Inteligencia Nacional. Solicitaban una evaluación de los riesgos de seguridad nacional planteados por TikTok y otras plataformas de contenido chinas que operan en los Estados Unidos”.
Vanessa Pappas, Gerente General de TikTok Estados Unidos respondió a estas acusaciones a través de múltiples publicaciones en la sala de redacción de la compañía. Ella afirmó que TikTok almacena “todos los datos de usuarios de TikTok US en los Estados Unidos, con copias de seguridad en Singapur”.
“Nuestros centros de datos están ubicados completamente fuera de China, y ninguno de nuestros datos está sujeto a la ley china “, dijo a fines de octubre.
Un mes después, Pappas reiteró que “los centros de datos de TikTok están ubicados completamente fuera de China”. También afirmó que la compañía tiene “un equipo técnico enfocado en adherirse a sólidas políticas de ciberseguridad y prácticas de seguridad y privacidad”.
Puedes leer más detalles de las vulnerabilidades en el informe publicado aquí.
¿Qué medidas tomar?
Si no estás ejecutando la última versión de TikTok disponible en las tiendas de aplicaciones para Android e iOS, te recomendamos actualizarla lo antes posible.