Investigadores de seguridad cibernética revelaron este martes una falla de seguridad, ya parcheada, en TikTok, que podría haber permitido a un atacante construir una base de datos de los usuarios de la aplicación y sus números de teléfono asociados para futuras actividades maliciosas.
Aunque la vulnerabilidad afecta solo a los usuarios que vincularon un número de teléfono a su cuenta o que han iniciado sesión con un número de teléfono, la explotación exitosa de la vulnerabilidad podría haber resultado en una fuga de datos y una violación de la privacidad, según el informe de Check Point Research.
TikTok implementó una solución para abordar la deficiencia luego de la divulgación responsable de los investigadores de Check Point.
El error recién descubierto reside en la función «buscar amigos» de TikTok, que permite a los usuarios sincronizar sus contactos con el servicio para identificar a las personas potenciales a seguir.
Los contactos se cargan en TikTok por medio de una solicitud HTTP en forma de una lista que consta de nombres y contactos con hash y los números de teléfono correspondientes.
La aplicación, en el siguiente paso, envía una segunda solicitud HTTP que recupera los perfiles de TikTok conectados a los números de teléfono enviados en la solicitud anterior. Esta respuesta incluye nombres de perfil, números de teléfono, fotos y otra información relacionada con el perfil.
Aunque las solicitudes de contacto de carga y sincronización están limitadas a 500 contactos por día, por usuario y por dispositivo, los investigadores de Check Point encontraron una forma de sortear la limitación obteniendo el identificador del dispositivo, las cookies de sesión establecidas por el servidor, un token llamado «X-Tt-Token» que se configura al iniciar sesión en la cuenta con SMS y simula todo el proceso desde un emulador que ejecuta Android 6.0.1.
Cabe mencionar que para solicitar datos del servidor de aplicaciones de TikTok, las solicitudes HTTP deben incluir los encabezados X-Gorgon y X-Khronos para la verificación del servidor, lo que garantiza que los mensajes no se manipulen.
Pero al modificar las solicitudes HTTP y volver a firmarlos con una firma de mensaje actualizada, la falla hizo posible automatizar el procedimiento de carga y sincronización de contactos a gran escala y crear una base de datos de cuentas vinculadas y sus números de teléfono conectados.
Con esta, ya son varias las veces que se descubren vulnerabilidades de seguridad en la popular aplicación de videos.
En enero de 2020, los investigadores de Check Point descubrieron múltiples vulnerabilidades dentro de TikTok que podrían haber sido explotadas para apoderarse de cuentas de usuario y manipular su contenido, incluida la eliminación de videos, la carga de videos no autorizados, hacer públicos los videos privados «ocultos» y revelar información personal almacenada en la cuenta.
Después, en abril, los investigadores de seguridad Talal Haj Bakry y Tommy Mysk expusieron fallas en TikTok que permitieron a los atacantes mostrar videos falsificados, incluidos los de las cuentas verificadas, al redirigir la aplicación a un servidor falso que aloja una colección de videos falsos.
TikTok lanzó una asociación de recompensas por errores con HackerOne en octubre pasado para ayudar a los usuarios o profesionales de seguridad a señalar inquietudes técnicas con la plataforma. Las vulnerabilidades críticas (con puntuación CVSS de 9 a 10) son elegibles para pagos de entre $6,900 y $14,800 dólares.
