Check Point Research (CPR) ha revelado recientemente una vulnerabilidad en funcionamiento "Encontrar amigos" de TikTok evitándolos protecciones de privacidad.
ΑSi esta vulnerabilidad no se abordaba, permitiría a un atacante acceder a los detalles del perfil de usuario y los números de teléfono asociados con su cuenta, lo que haría posible crear una base de datos de información para su uso en actividad maliciosa en el futuro.
Los investigadores de CPR encontraron dos veces fallas de seguridad en TikTok. Los últimos perfiles de vulnerabilidad incluyen: número de teléfono, apodo, imágenes de perfil y avatar, ID de usuario únicos y algunas configuraciones de perfil, como si el usuario es un seguidor o si su perfil está bloqueado.
Cómo los intrusos pueden aprovechar esta vulnerabilidad:
- Cree una lista de ID de dispositivos que se utilizarán para buscar servidores TikTok.
- Cree una lista de tokens específicos de token (cada token es válido por 60 días) que se utilizará para buscar servidores de TikTok.
- Omita el mecanismo de firma de mensajes HTTP de TikTok utilizando su propio servicio de firma en segundo plano.
- Conecte todo lo anterior modificando las solicitudes HTTP, ignorándolas y utilizando varios tokens e ID de dispositivo para evitar los mecanismos de protección de TikTok.
Los pasos que siguieron a Check Check Research y ByteDance ...
CPR reveló responsablemente sus hallazgos al fabricante de TikTok ByteDance. Lo positivo fue que sus creadores TikTok han desarrollado una solución para garantizar que los usuarios de TikTok puedan seguir utilizando la aplicación de forma segura.
En su investigación anterior sobre TikTok, CPR ya había encontrado dos veces fallas de seguridad en él.
El 8 de enero de 2020, CPR publicó un documento sobre un conjunto de vulnerabilidades que podrían permitir que un agente de amenazas acceda a información personal.
almacenados en cuentas de usuario, manipular la información de la cuenta de usuario o tomar medidas en nombre de un usuario sin su consentimiento.
Oded Vanunu, jefe de investigación de vulnerabilidades de productos en Check Point declaró:
Un intruso con este nivel de información confidencial podría cometer una serie de actividades maliciosas, como pesca cibernética u otras actividades delictivas. Nuestro mensaje para los usuarios de TikTok es compartir poco de sus datos personales. Así como actualizar su sistema operativo y aplicaciones a las últimas versiones.
Un portavoz de TikTok dijo:
No te olvides de seguirlo xiaomi-miui.gr en noticias de Google para estar informado inmediatamente sobre todos nuestros nuevos artículos!