TikTok se ha convertido en una de las redes sociales más usadas del mundo, predominando sobre todo entre jóvenes y adolescentes. Es por ello que la seguridad de la app debería ser mirada con lupa, pero investigadores de Check Point han descubierto una grave vulnerabilidad que ha expuesto a los usuarios a ser espiados.
Cuidado si has recibido un SMS falso
La aplicación de TikTok cuenta ya con más de 1.000 millones de usuarios en más de 150 países, y todos ellos han estado expuestos a que cibercriminales puedan ver, añadir y eliminar vídeos, modificar configuraciones de privacidad (poner vídeos privados como públicos), y básicamente obtener todos los datos personales que los usuarios tengan en esa red, incluyendo nombre, email o fecha de nacimiento.
Los vídeos de esta plataforma pueden tener contenido muy sensible, sobre todo si hablamos de menores: podemos hacer vídeos bailando, jugando o hacer vídeos con fotos en TikTok que podrían dañar la intimidad de los menores. Tanta es su peligrosidad, que incluso Estados Unidos ha anunciado esta semana la prohibición de usar la app por parte de sus soldados por ser una posible ciberamenaza y es siempre aconsejable apostar por herramientas de control parental como YouTube Kids o Kiddle e incluso utilizar cuentas privadas en TikTok para controlar la seguridad de los niños o apostar por los modos de protección de Desintoxicación Digital en TikTok si no queremos darnos de baja en TikTok.
La vulnerabilidad funcionaba de la siguiente manera. En la web oficial de TikTok es posible enviar un SMS al móvil con el enlace para descargar la app. Los investigadores descubrieron que un atacante puede hacerse pasar por TikTok y enviar un SMS con un enlace falso. Al hacer clic, el atacante puede tomar el control de la cuenta y hacer lo que quiera con ella, como aprovecharse del saldo en TikTok o el monedero, hacer publicaciones, dúos de TikTok, etc. Además, el atacante puede solicitar el envío del SMS a cualquier móvil, modificando fácilmente el enlace que los usuarios recibían.
Otro método de ataque que descubrieron los investigadores permitía a un hacker enviar solicitudes no deseadas en nombre del usuario al entrar en un servidor web bajo su control. A su vez, también descubrieron un ataque XSS en el dominio ads.tiktok.com, la cual permitía inyectar scripts maliciosos en la web.
TikTok ya ha solucionado la vulnerabilidad
Así, los atacantes tenían dos vías de ataque: tomar el control de la cuenta mediante SMS falsos, y redirigir a los usuarios a webs maliciosas que ejecutaban JavaScript y que hacían solicitudes a TikTok con sus cookies. En el siguiente vídeo podemos ver cómo funcionaba el ataque
Tras descubrir las vulnerabilidades, Check Point informó a TikTok para que las arreglara, y ya han sido subsanadas. Al ser todas relacionadas con la web o servicios de la propia TikTok, no es necesario actualizar la aplicación para protegerse del fallo. No se sabe si ha habido atacantes que se hayan aprovechado de la vulnerabilidad. Un posible atacante tampoco habría tenido acceso a la contraseña, a no ser que nos hubiéramos logueado en alguna web falsa propiedad del hacker. Por tanto, “sólo” han podido acceder a información como el nombre o el email.
Check Point ha querido recordar los peligros que entrañan este tipo de vulnerabilidades, ya que las filtraciones de datos se están convirtiendo en una epidemia que permite a atacantes hacerse con nuestros datos. Webs como Haveibeenpwned han superado ya los 9.300 millones de cuentas hackeadas en su base de datos, y la cifra no para de crecer.