Las vulnerabilidades de TikTok en su sistema de SMS permiten a los atacantes robar información personal
Los investigadores de seguridad encontraron varias vulnerabilidades de TikTok, propiedad de ButeDance con sede en Beijing, que permite a los posibles piratas informáticos secuestrar las cuentas de los usuarios y manipular los videos cargados y la información personal.
TikTok es una famosa plataforma de redes sociales y la participación de usuarios masivos en esta plataforma lo ha hecho ahora. Durante las estadísticas de noviembre de las estimaciones de Sensor Tower Store Intelligence, tiene más de 500, 000, 000 instaladores en Google Play y más de 1,5 mil millones en la plataforma móvil. Se utiliza para compartir videos móviles en bucle de formato corto de 3 a 60 segundos.
Los investigadores de Check Point afirman en un informe que las aplicaciones Tittok y su backend eran vulnerables a los ataques. ByteDance corrige la vulnerabilidad dentro de un mes después de que se revelaran los problemas de seguridad en noviembre.
“Los datos son generalizados, pero las violaciones de datos se están convirtiendo en una epidemia, y nuestra última investigación muestra que las aplicaciones más populares aún están en riesgo”, dijo Oded Vanunu, Jefe de Investigación de Vulnerabilidad de Productos de Check Point.
“Las aplicaciones de redes sociales están altamente dirigidas a las vulnerabilidades ya que proporcionan una buena fuente de datos privados y ofrecen una buena puerta de superficie de ataque”.
Sistema de SMS vulnerable en TikTok
CheckPoint declaró que el sistema SMS del TikTok permite que los ataques manipulen los datos de la cuenta agregando y eliminando videos, cambiando la configuración de privacidad del video y filtrando los nombres de usuario, la dirección de correo electrónico, el cumpleaños y otros datos personales relacionados con los usuarios. Según los investigadores de Check Point, los atacantes explotan las vulnerabilidades en el sistema para cargar videos no autorizados y eliminar los videos cargados, mover los videos de los usuarios de lo privado a lo público y robar información personal.
Para realizar estas acciones maliciosas, los atacantes pueden enviar el enlace de descarga de la aplicación a los números de teléfono de los usuarios a través de mensajes de texto que dan la impresión de venir de TikTok. Además, los usuarios podrían ser redirigidos a un servidor web controlado por los atacantes.
“La redirección abre la posibilidad de realizar falsificaciones de solicitudes entre sitios (CSRF), secuencias de comandos entre sitios (XSS) y ataques de exposición de datos confidenciales sin el consentimiento del usuario”.
“TikTok se compromete a proteger los datos de los usuarios. Al igual que muchas organizaciones, alentamos a los investigadores de seguridad responsables a que nos revelen de manera privada las vulnerabilidades de día cero”, dijo Luke Deshotels, el equipo de seguridad de TikTok.
Antes de la divulgación pública, CheckPoint acordó que estas vulnerabilidades fueron parcheadas en la última versión de la aplicación.
TikTok prohibió los teléfonos inteligentes con problemas gubernamentales de los soldados
Las revelaciones de la investigación de Check Point se producen después de la prohibición del TikTok de las ramas militares estadounidenses, incluidos el Ejército, la Armada, el Cuerpo de Marines y la Fuerza Aérea.
“Se considera una amenaza cibernética”, dijo la portavoz del ejército, teniente coronel Robin Ochoa, “No lo permitimos en los teléfonos del gobierno”.
“tenga cuidado con las aplicaciones que descargue, monitoree sus teléfonos en busca de textos inusuales y no solicitados, etc., y elimínelos inmediatamente y desinstale TikTok para evitar cualquier exposición de información personal”, nuevas pautas también para todos los empleados del departamento de defensa.
Esto fue seguido por un mensaje posterior enviado por los senadores estadounidenses Chuck Schumer y Tom Cotton en octubre “al Director Interino de Inteligencia Nacional solicitando una evaluación de los riesgos de seguridad nacional planteados por TikTok y otras plataformas de contenido con sede en China que operan en los Estados Unidos”.
Schumer también publicó una declaración, dijo que la investigación de seguridad nacional en TikTok valida la preocupación de los senadores de que aplicaciones como TikTok puedan presentar serios riesgos para millones de estadounidenses y merecen un mayor escrutinio como respuesta cuando Reuters informó que el gobierno de EE. UU. Comenzó una investigación sobre Adquisición del propietario de TikTok, ByteDance, de la aplicación social estadounidense musical.ly a partir de noviembre de 2017 por posibles riesgos de seguridad nacional.
Vanessa pappas, gerente general de tiktok EE. UU., Respondió que todos los tiktok almacenan los datos de los usuarios en EE. UU. Con redundancia de respaldo en Singapur. “Nuestros centros de datos están ubicados completamente fuera de China, y ninguno de nuestros datos está sujeto a la ley china”, dijo a fines de octubre.
“Los centros de datos de TikTok están ubicados completamente fuera de China”. También afirmó que la compañía tiene “un equipo técnico dedicado enfocado en adherirse a políticas de ciberseguridad robustas y prácticas de privacidad y seguridad de datos”. Esto es lo que las pappas reiteraron un mes después.