TikTok es una de las redes sociales cuya privacidad y seguridad es más sensible, ya que agrupa a muchos menos de edad entre sus usuarios. La compañía anunció recientemente cambios para mejorar esa privacidad, pero una vulnerabilidad crítica descubierta por Check Point ha puesto en peligro los datos de millones de usuarios.
El fallo descubierto afecta a la aplicación móvil que usan más de 1.000 millones de usuarios en más de 150 países. En concreto, la función vulnerable es la de Encontrar amigos de TikTok, a través de la cual un ciberdelincuente podía acceder a la información de perfil de un usuario, incluyendo número de teléfono, nombre, foto de perfil, avatar e ID únicos. Con ello, podía tener una completa base de datos para luego venderla o utilizarla con otros fines maliciosos.
Millones de usuarios potencialmente afectados
La aplicación permite sincronizar los contactos del móvil para encontrar otros contactos que usen la app. Esto permite conectar los perfiles con los números de teléfono, y la vulnerabilidad sólo afecta a los usuarios que hayan decidido asociar su número de teléfono con su cuenta, lo cual no es obligatorio. También se ven afectados aquellos que se hayan logueado con su número de teléfono.
Para explotar la vulnerabilidad, los investigadores crearon una lista de dispositivos con sus correspondientes ID. Luego, se crea una lista de tokens de sesión válidos durante 60 días. Estos tokens se generan durante el proceso de logue por SMS, e implican que se pueden usar ambos para loguearse durante semanas.
A partir de ahí, el atacante evita el mecanismo de firma de mensajes HTTP de TikTok usando su propio servicio de firma ejecutándose en segundo plano. Posteriormente, une estos elementos para modificar las peticiones HTTP, reasignarlas, y utilizar varios tokens de sesión e ID de dispositivos para saltarse el mecanismo de protección de la red social, creando una base de datos de los usuarios que han conectado su teléfono.
Desde TikTok afirman que «la seguridad, la privacidad y la protección de la comunidad de TikTok son nuestras mayores prioridades. Apreciamos los esfuerzos de Check Point en la identificación de posibles problemas para que podamos resolverlos antes de que los usuarios se vean afectados. Seguimos invirtiendo en reforzar nuestras defensas automatizadas para minimizar este tipo de ataques.»
TikTok ya ha subsanado el fallo: actualiza la app
Las recomendaciones de los investigadores pasan por no compartir datos personales en los perfiles de esta red social, así como actualizar la app para asegurarnos de tener la última versión instalada.
En cuanto descubrieron el fallo, Check Point compartió su descubrimiento con ByteDacen, responsables de TikTok, y les dieron una serie de recomendaciones para solventar el fallo de seguridad y que los usuarios pudieran seguir usándola con todas las garantías. Así, el fallo está arreglado en la última versión de la aplicación, por lo que os recomendamos que la actualicéis. Otro consejo muy útil es poner privada la cuenta de TikTok.