Existe una vulnerabilidad crítica detectada en la red social TikTok que permite el acceso a datos del usuario como el número de teléfono, el nombre, la foto de perfil, el avatar o incluso configuración del perfil, información que pusieron al descubierto los investigadores de Check Point Research.
La vulnerabilidad identificada, en concreto, se encuentra en la opción “Encontrar Amigos”, informaron desde Check Point.
TikTok es una de las aplicaciones sociales más populares de la actualidad, con más de mil millones de usuarios en más de 150 países de todo el mundo.
A través de este defecto, un ciberdelincuente podría acceder a la información del perfil del usuario, número de teléfono, nombre, foto de perfil, avatar, identificaciones únicas y configuración del perfil; lo que permite crear una base de datos que posteriormente podría ser utilizado con malas intenciones.
Según los expertos de Check Point, el cibercriminal podría crear una lista de dispositivos (IDs de dispositivos) que se lo utilizaría para consultar los servidores de TikTok, o crear una lista de tokens de sesión (tiene semejanzas con “bitcoin”), cada token de sesión es válido durante 60 días, que se utilizarán para consultar los servidores de TikTok.
Asimismo, podría utilizar la información para evitar el mecanismo de firma de mensajes HTTP de TikTok utilizando su propio servicio de firma ejecutado en segundo plano, o unir todos estos elementos para modificar las peticiones HTTP (medios por los cuales se intercambian datos entre servidores y clientes), reasignarlas y utilizar varios tokens de sesión e IDs de dispositivos para saltarse los mecanismos de protección de TikTok.
Check Point informa en un comunicado, que compartió su descubrimiento con ByteDance, empresa responsable de TikTok.
/MDCB
