Según los investigadores de Check Point Research, una reconocida empresa de ciberseguridad, se supo el día de hoy de una falla de seguridad, que ahora afortunadamente está parcheada en TikTok, que podría haber permitido a un atacante construir una base de datos de los usuarios de la aplicación y sus números de teléfono asociados para futuras actividades maliciosas.
Aunque esta falla solo afecta a aquellos usuarios que han vinculado un número de teléfono con su cuenta o que han iniciado sesión con un número de teléfono, la explotación exitosa de la vulnerabilidad podría haber resultado en una fuga de datos y una violación de la privacidad, dijeron los investigadors de Check Point Research en un análisis compartido con el portal de noticias The Hacker News.
TikTok ha implementado una solución para solucionar la falla de seguridad, tras la divulgación responsable hecha por los investigadores de Check Point.
El error que se hizo público hoy reside en la función «Buscar amigos» de TikTok que permite a los usuarios sincronizar sus contactos con el servicio para identificar a las personas que potencialmente podrían estar interesados en nuestro contenido.
Los contactos se cargan en TikTok a través de una solicitud HTTP en forma de una lista que consta de lo nombres de contactos en nuestro smartphone como un hash y los números de teléfono correspondientes en texto claro.
La aplicación, en el siguiente paso, envía una segunda solicitud HTTP que recupera los perfiles de TikTok conectados a los números de teléfono enviados en la solicitud anterior. Esta respuesta TikTok incluye nombres de perfil, números de teléfono, fotos y otra información relacionada con el perfil.
Si bien las solicitudes de contacto de carga y sincronización están limitadas a 500 contactos por día, por usuario y por dispositivo, los investigadores de Check Point encontraron una manera de sortear la limitación obteniendo el identificador del dispositivo, las cookies de sesión establecidas por el servidor, un único token llamado «X-Tt-Token» que se configura al iniciar sesión en la cuenta con SMS y entonces simulan todo el proceso desde un emulador que ejecuta Android 6.0.1.
Vale la pena señalar que para solicitar datos del servidor de aplicaciones TikTok, las solicitudes HTTP deben incluir los encabezados X-Gorgon y X-Khronos para la verificación del servidor, lo que garantiza que los mensajes no sean manipulados.
Pero al modificar en las solicitudes HTTP la cantidad de contactos que el atacante quiere sincronizar y volver a firmarlos con una firma de mensaje actualizada, la falla hizo posible automatizar el procedimiento de carga y sincronización de contactos a gran escala y crear una base de datos. de cuentas vinculadas y sus números de teléfono conectados.
Esta no es la primera vez que se descubre que la popular aplicación para compartir videos contiene debilidades de seguridad y probablemente no sea la última. Así que considere seriamente las implicaciones de seguridad que implica poner su información en estos servicios de redes sociales.