logo
Aplicaciones 26/01/2021

TikTok parcha vulnerabilidad que permitía robar datos de usuarios

El apartado de TikTok para encontrar amigos entre nuestros contactos tenía un fallo grave que comprometía nuestra información privada.

TikTok se vio en serio peligro de desaparecer por lo menos parcialmente durante 2020. Pero una vez finalizada la administración de Donald Trump parece que pueden volver a respirar en calma.

Sin embargo, y por desgracia, no podemos decir lo mismo sobre sus usuarios. Ya que habrían estado expuestos a una seria falla de seguridad en la plataforma.

La buena noticia es que TikTok ha parchado este error crítico en su sistema. Pero la historia detrás del incidente da mucho en qué pensar.

Gracias a su programa de recompensas

Resulta que durante las negociaciones para no cerrar su operación TikTok se vio obligado a lanzar un programa de búsqueda y recompensas por encontrar bugs en la app.

Fue así como la gente de Check Point Research encontró un error delicado en el código de la app que permitía distintos niveles de manipulación.

TikTok Estados Unidos

La vulnerabilidad descubierta por dicha firma habría permitido a los atacantes utilizar la función Friend Finder de la aplicación para robar los detalles del perfil y los números de teléfono de los usuarios. Para luego crear una base de datos de información que podría usarse para ataques maliciosos.

Para lograr esto los hackers de sombrero blanco desarrollaron un exploit a la medida. Luego de notar una falla en la forma en que los servidores de TikTok confirmaban que las solicitudes de Friend Finder.

Todo debido a que generaban un ID de dispositivo único para el teléfono de cada usuario, junto con un token de usuario y una cookie de sesión.

El problema era que las cookies se mantenían validadas en el sistema por un lapso de 60 días, dos meses. Lo que había fácil explotarlas para vincularlas a dispositivos virtuales que permitían el robo de otros datos mediante procesos automatizados que hacían posible más acciones maliciosas.

Al final Check Point Research armó una base de datos con información delicada tal como:

  • Números de teléfono
  • Nikcnames
  • Fotos de perfil
  • Avatares
  • ID de usuario único
  • Configuraciones de privacidad específicas para la cuenta

Actualmente este error ha sido parchado y ya no se corre el peligro de robar estos datos. Aunque el riesgo estuvo ahí presente por bastante tiempo.