Investigadores de Check Point Research,  la División de Inteligencia de Amenazas de  Check Point® Software Technologies Ltd. (NASDAQ: CHKP), que es el proveedor líder que está especializado en ciberseguridad a nivel mundial descubrió una vulnerabilidad crítica en Tik Tok, según informó la compañía.

Tik Tok 

Tik Tok es una aplicación móvil que cuenta con más de 1 billón de ususarios en más de 150 países. El fallo de seguridad se encuentra en la función "Encontrar amigos". En esta extensión, los ciberdelicuentes pueden llegar a acceder a la información del perfil del usuario (número de teléfono, nombre,  foto de perfil, avatar, identificaciones únicas e incluso configuración del perfil). 

El ingreso a los usuarios podría facilitar a los hackers realizar actividades maliciosas en el dispositivo móvil. 

La aplicación de creación de videos, Tik Tok, es una de las que más rápido creció en los últimos tiempos (de hecho, fue la app más descargada en España en 2020), y encuentra en los jóvenes su principal público.

 

Tik Tok videos 

La aplicación del momento permite a los uasuarios crear y guardar videos privados del usuario y de las demás cuentas (que pueden tener contenido muy sensible). Tik Tok es una de las tantas apps que genera riesgo de privacidad en las personas, ya que en enero de 2020 Check Point alertó de un fallo de seguridad que permitía a los ciberdelincuentes manipular datos (añadir/eliminar vídeos), alterar la privacidad del usuario (cambiar la configuración de la privacidad de los vídeos de privada a pública) y acceder y extraer datos personales (nombre completo, dirección de correo electrónico, cumpleaños, etc.) guardados en estas cuentas.

Hackers 

¿Cómo explotan la vulnerabilidad los ciberdelincuentes o hackers?: 

• El ciberdelincuente crea una lista de dispositivos (IDs de dispositivos) que se utilizarán para consultar los servidores de TikTok.
• Crear una lista de tokens de sesión (cada token de sesión es válido durante 60 días) que se utilizarán para consultar los servidores de TikTok.
• Evitar el mecanismo de firma de mensajes HTTP de TikTok utilizando su propio servicio de firma ejecutado en segundo plano.
• Une todos estos elementos para modificar las peticiones HTTP, reasignarlas y utilizar varios tokens de sesión e IDs de dispositivos para saltarse los mecanismos de protección de TikTok.

Aplicaciones 

El jefe de  Investigación de Vulnerabilidad de Productos de Check Point, Oded Vanunu, habló sobre la vulnerabilidad de Tik Tok y dijo que "en esta ocasión, el estudio que hemos llevado a cabo sobre esta aplicación tenía como objetivo explorar la privacidad de TikTok y saber si la plataforma podía utilizarse para obtener datos privados de los usuarios. Descubrimos que, efectivamente, es posible, ya que hemos podido eludir múltiples mecanismos de protección de TikTok”. 

En este mismo contexto, Vanunu agregó que la vulnerabilidad "podría haber permitido a un atacante crear una base de datos con información de los usuarios y sus respectivos números de teléfono, gracias a la cual un ciberdelincuente podría realizar una serie de actividades maliciosas, como el spear phishing". 

Desde Check Point compartieron el descubrimiento realizado junto a ByteDance, empresa responsable de TikTok, y ofreció una serie de recomendaciones para solventar esta vulnerabilidad y permitir a los usuarios de la app seguir disfrutando del servicio de forma segura.