Se han encontrado vulnerabilidades críticas en TikTok que exponen datos de millones de usuarios en todo el mundo

13 enero, 2020
12 Compartido 2,016 Visualizaciones

Información personal confidencial como la dirección de la vivienda o correo electrónico puede estar expuesta debido al fallo de seguridad en una de las aplicaciones más usadas

Check Point Research, la división de Inteligencia de Amenazas de Check Point ha descubierto múltiples vulnerabilidades críticas en TikTok, una aplicación móvil con más de 1 billón de usuarios en más de 150 países. Estos fallos de seguridad permitirían a los cibercriminales manipular datos (añadir/eliminar vídeos), alterar la privacidad del usuario (cambiar la configuración de la privacidad de los vídeos de privada a pública) y acceder y extraer datos personales (nombre completo, dirección de correo electrónico, cumpleaños, etc.) guardada en estas cuentas.

TikTok es una de las aplicaciones que más rápido ha crecido en los últimos tiempos (de hecho, es la tercera aplicación más descargada en todo el mundo, sólo por detrás de WhatsApp y Messenger), y encuentra en los jóvenes su principal público. Este servicio permite a sus usuarios crear y guardar vídeos privados suyos y de sus seres queridos (que pueden tener contenido muy sensible). Sin embargo, estas aplicaciones entrañan muchos riesgos; de hecho, esta semana, el ejército de los Estados Unidos ha prohibido su uso a sus soldados ya que consideraban esta aplicación como una «ciberamenaza«.

¿Cómo funciona esta vulnerabilidad? 

Para descargar TikTok, un nuevo usuario recibe un enlace de descarga vía SMS y, tras esto, debe introducir su número de teléfono. Durante la investigación, los expertos de Check Point descubrieron que un atacante podía suplantar la identidad de la aplicación y enviar un SMS falso con un enlace malicioso. Cuando el usuario hace clic, permite al cibercriminal hacerse con la cuenta TikTok y manipular su contenido borrando archivos, subiendo vídeos no autorizados y haciendo público contenido privado u “oculto” del usuario. 

Por otra parte, los investigadores de la compañía descubrieron que un hacker puede forzar a un usuario de TikTok a entrar en un servidor web que se encuentra bajo su control, haciendo posible que el atacante envíe solicitudes no deseadas en nombre del usuario. Asimismo, la investigación puso de manifiesto que el subdominio de Tiktok https://ads.tiktok.com era vulnerable a los ataques XSS, un tipo de ciberamenaza en el que se inyectan scripts maliciosos en sitios web que de otra manera serían de confianza. 

Los expertos de Check Point aprovecharon esta vulnerabilidad para recuperar la información personal guardada en las cuentas de los usuarios, incluidas las direcciones de correo electrónico privadas y las fechas de nacimiento. Tras esto, la compañía informó a los desarrolladores de la aplicación de las vulnerabilidades encontradas durante la investigación, que ya han sido subsanadas, por lo que los usuarios pueden hacer uso normal del servicio. 

«Las brechas de seguridad en datos se están convirtiendo en una epidemia, y nuestra última investigación demuestra que las aplicaciones más populares siguen estando en riesgo», señala Oded Vanunu, Jefe de Investigación de Vulnerabilidad de Productos de Check Point. «Las aplicaciones de redes sociales son muy susceptibles, ya que proporcionan una buena fuente de datos privados y abren una puerta de ataque. Los cibercriminales están invirtiendo grandes cantidades de dinero y dedicando muchos esfuerzos para penetrar en aplicaciones tan masivas. Sin embargo, la mayoría de los usuarios suponen que están protegidos por la aplicación que están utilizando», añade Vanunu.

Asimismo, este nuevo caso pone de manifiesto la necesidad de dotar a los smartphones de medidas de seguridad que garanticen la privacidad del usuario. Check Point, por su parte, cuenta con SandBlast Mobile, una solución contra amenazas móviles avanzadas con infraestructura On-device Network Protection. Al revisar y controlar todo el tráfico de red del dispositivo, SandBlast Mobile evita los ataques de robo de información en todas las aplicaciones, correo electrónico, SMS, iMessage y aplicaciones de mensajería instantánea. Esta solución, además, evita tanto el acceso a sitios web maliciosos como el acceso y comunicación del dispositivo con botnets, para lo cual valida el tráfico en el propio dispositivo sin enrutar los datos a través de un gateway corporativo

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

La AEFI valora positivamente el anuncio de Sandbox por el Gobierno
Actualidad
10 compartido1,496 visualizaciones
Actualidad
10 compartido1,496 visualizaciones

La AEFI valora positivamente el anuncio de Sandbox por el Gobierno

Vicente Ramírez - 2 mayo, 2018

La implantación de un Sandbox implicaría múltiples ventajas para el desarrollo del sector FinTech e InsurTech y situaría a España…

El 85% de las aplicaciones tiene alguna brecha de seguridad
Actualidad
21 compartido1,501 visualizaciones
Actualidad
21 compartido1,501 visualizaciones

El 85% de las aplicaciones tiene alguna brecha de seguridad

Vicente Ramírez - 21 diciembre, 2018

¿Hasta qué punto se tiene en cuenta la seguridad en un entorno que avanza a un ritmo tan vertiginoso? La…

El consumo de servicios de seguridad cuenta con una tendencia de crecimiento sostenido del 8,3%
Actualidad
7 compartido981 visualizaciones
Actualidad
7 compartido981 visualizaciones

El consumo de servicios de seguridad cuenta con una tendencia de crecimiento sostenido del 8,3%

Alicia Burrueco - 28 noviembre, 2019

La migración de las empresas hacia la infraestructura Cloud está definiendo una nueva estrategia de ciberseguridad centrada en el Dato…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.