Vulnerabilidad en TikTok filtraba datos personales

TikTok se ha convertido en una de las apps más populares…lo que la hace atractiva para los hackers y más ahora que Check Point descubrió varias vulnerabilidades graves, que dejan a los datos de los mil millones de usuarios sin protección.

Los cibercriminales pueden añadir o borrar videos, cambiar la privacidad, extraer datos como nombre completo, dirección de correo electrónico, cumpleaños, etc., guardada en sus cuentas.

¿Cómo funciona esta vulnerabilidad?

Para descargar TikTok, un nuevo usuario recibe un enlace de descarga vía SMS y, tras esto, debe introducir su número de teléfono. Durante la investigación hecha por Check Point, se descubrió que un atacante podía suplantar la identidad de la aplicación y enviar un SMS falso con un enlace malicioso. Cuando el usuario hace clic, permite al cibercriminal hacerse con la cuenta TikTok y manipular su contenido borrando archivos, subiendo vídeos no autorizados y haciendo público contenido privado u “oculto” del usuario.

Por otra parte, los investigadores de la compañía descubrieron que un hacker puede forzar a un usuario de TikTok a entrar en un servidor web que se encuentra bajo su control, haciendo posible que el atacante envíe solicitudes no deseadas en nombre del usuario. Asimismo, la investigación puso de manifiesto que el subdominio de Tiktok https://ads.tiktok.com era vulnerable a los ataques XSS, un tipo de ciberamenaza en el que se inyectan scripts maliciosos en sitios web que de otra manera serían de confianza.

Los expertos de Check Point aprovecharon esta vulnerabilidad para recuperar la información personal guardada en las cuentas de los usuarios, incluidas las direcciones de correo electrónico privadas y las fechas de nacimiento. Tras esto, la compañía informó a los desarrolladores de la aplicación de las vulnerabilidades encontradas durante la investigación, que fueron subsanadas el 15 de diciembre, por lo que los usuarios pueden hacer uso normal del servicio, ya que la versión más reciente corrigió todos los huecos de seguridad, así que si no la has descargado, estás en un grave riesgo.

Es por eso que es necesario que los smartphones cuenten con medidas de seguridad que garanticen la privacidad del usuario. Check Point, pofrece para este caso el programa SandBlast Mobile, una solución contra amenazas móviles avanzadas con infraestructura On-device Network Protection. Al revisar y controlar todo el tráfico de red del dispositivo, SandBlast Mobile evita los ataques de robo de información en todas las aplicaciones, correo electrónico, SMS, iMessage y aplicaciones de mensajería instantánea. Esta solución, además, evita tanto el acceso a sitios web maliciosos como el acceso y comunicación del dispositivo con botnets, para lo cual valida el tráfico en el propio dispositivo sin enrutar los datos a través de un gateway corporativo.