El exploit aprovecha una vulnerabilidad de día cero en el componente de mensajería
La popular plataforma para compartir vídeos TikTok ha reconocido un problema de seguridad que ha sido aprovechado por actores de amenazas para tomar el control de cuentas de alto perfil en la plataforma.
El desarrollo fue informado por primera vez por Semafor y Forbes, que detallaron una campaña de apropiación de cuentas sin hacer clic que permite que el malware propagado a través de mensajes directos comprometa cuentas de marcas y celebridades sin tener que hacer clic o interactuar con ellas.
Se ha descubierto que el exploit aprovecha una vulnerabilidad de día cero en el componente de mensajería que permite ejecutar código malicioso tan pronto como se abre el mensaje.
Actualmente no está claro cuántos usuarios se han visto afectados, aunque un portavoz de TikTok dijo que la compañía ha tomado medidas preventivas para detener el ataque y evitar que vuelva a ocurrir en el futuro.
La compañía dijo además que está trabajando directamente con los titulares de cuentas afectados para restaurar el acceso y que el ataque sólo logró comprometer a un número "muy pequeño" de usuarios. No proporcionó ningún detalle sobre la naturaleza del ataque o las técnicas de mitigación que había empleado.
Esta no es la primera vez que se descubren problemas de seguridad en el servicio ampliamente utilizado. En enero de 2021, Check Point detalló una falla en TikTok que podría haber permitido a un atacante crear una base de datos de los usuarios de la aplicación y sus números de teléfono asociados para futuras actividades maliciosas.
Luego, en septiembre de 2022, Microsoft descubrió un exploit de un solo clic que afectaba a la aplicación de Android de TikTok y que podía permitir a los atacantes hacerse cargo de las cuentas cuando las víctimas hacían clic en un enlace especialmente diseñado.
Otro problema revelado por Imperva hace más de un año podría haber permitido a los atacantes monitorear la actividad de los usuarios y acceder a información confidencial tanto en dispositivos móviles como de escritorio.
"Al explotar esta vulnerabilidad, los atacantes podrían enviar mensajes maliciosos a la aplicación web TikTok a través de la API PostMessage, eludiendo las medidas de seguridad", señaló la compañía en ese momento. "El controlador de eventos del mensaje procesaría el mensaje malicioso como si viniera de una fuente confiable, otorgando al atacante acceso a información confidencial del usuario".
Eso no es todo. Se descubrió que hasta 700.000 cuentas de TikTok habían sido comprometidas el año pasado en Turquía, después de que surgieran informes de que el enrutamiento gris de mensajes SMS a través de canales inseguros permitía a los adversarios interceptar contraseñas de un solo uso y obtener acceso a las cuentas de los usuarios de TikTok e inflar los me gusta y los seguidores.
Los malos actores también han aprovechado el Desafío Invisible de TikTok para entregar malware que roba información, destacando los esfuerzos continuos por parte de los atacantes para difundir malware a través de medios no convencionales.
Las raíces chinas de TikTok han generado preocupaciones de que la aplicación pueda usarse como un conducto para recopilar información confidencial sobre los usuarios estadounidenses e impulsar propaganda, lo que finalmente llevó a la aprobación de una ley que prohibiría la aplicación de vídeo en el país a menos que se deshaga de ByteDance.
El mes pasado, el gigante de las redes sociales presentó una demanda en Estados Unidos impugnando la ley, afirmando que es una "intrusión extraordinaria en los derechos de libertad de expresión" y que Estados Unidos sólo había presentado "preocupaciones especulativas" para justificar la prohibición.
India, Nepal, Senegal, Somalia y Kirguistán se encuentran entre las naciones que ya han impuesto prohibiciones similares a TikTok, y varios otros países, incluidos EE. UU., Reino Unido, Canadá, Australia y Nueva Zelanda, prohíben el uso de la aplicación en dispositivos gubernamentales.
