miércoles, 27 de enero de 2021

La vulnerabilidad en TikTok permitió recopilar datos personales de los usuarios


Los investigadores de Check Point han descubierto un problema de seguridad con TikTok. El error encontrado abrió el acceso a los datos del perfil del usuario, incluido un número de teléfono, identificación única, nombre de usuario, foto de perfil, así como algunas configuraciones, incluida la capacidad de ocultar el perfil y administrar las suscripciones. Se informa que los desarrolladores ya han solucionado el agujero de seguridad.

La raíz del problema radica en la función Buscar amigos, que se basa en la sincronización de contactos. Debido a esto, el error solo afectó a aquellos usuarios que eligieron asociar su número de teléfono con una cuenta (que es opcional) o iniciaron sesión con su número de teléfono.

La vulnerabilidad funcionó de la siguiente manera:

  • primero, se requirió preparar una lista de dispositivos (identificadores de dispositivos) para solicitudes a los servidores de TikTok;
  • luego fue necesario crear una lista de tokens de sesión (cada uno válido por 60 días) que se utilizará para las solicitudes a los servidores de TikTok: las mismas cookies se utilizaron para iniciar sesión en el sistema durante varias semanas;
  • evitar el mecanismo de firma de mensajes HTTP en TikTok, automatizando así el proceso de descarga y sincronización de contactos a cualquier escala;
  • combinar todo lo anterior en una cadena, cambiando las solicitudes HTTP y omitiendo la firma electrónica;
  • use varios tokens de sesión e ID de dispositivo para engañar a las defensas de TikTok y transmitir la recopilación de datos.

“Esta vez, nuestra tarea principal fue investigar la protección de la información personal en TikTok. Decidimos comprobar si la plataforma se puede utilizar para obtener datos personales de los usuarios. Resultó que puedes. Pudimos eludir varios de los mecanismos de seguridad de TikTok, violando así la privacidad de la aplicación. Con esta vulnerabilidad, los ciberdelincuentes podrían crear una base de datos de usuarios y sus números de teléfono. Los titulares de esta información podrían llevar a cabo ataques de phishing dirigidos y otras actividades delictivas. Alentamos a los usuarios de TikTok a que proporcionen la menor cantidad de información posible sobre ellos mismos y a que actualicen periódicamente el sistema operativo y las aplicaciones a la última versión ”, comentó Oded Vanunu, director de Tecnologías de Software de Check Point para Investigación de Vulnerabilidad de Productos.

Permítanme recordarles que esta no es la primera vez que los analistas de Check Point informan problemas con TikTok. En enero del año pasado, los investigadores publicaron un gran informe que destacaba una variedad de vulnerabilidades en la aplicación. Los errores permitieron a un atacante que conocía el número de teléfono de la víctima manipular las cuentas de otras personas y obtener acceso a los datos personales.


Fuente: https://xakep.ru/

No olvides Compartir...  

Siguenos en twitter: @disoftin - @fredyavila

 

 

No hay comentarios:

Publicar un comentario

Más leídas este mes