Clicky

Investigadores demuestran cómo piratear cualquier cuenta de TikTok enviando un SMS

Hackeo TikTok

El ataque aprovecha un sistema de SMS inseguro que TikTok ofrece en su sitio web

TikTok, la tercera aplicación más descargada en 2019, está bajo un intenso escrutinio sobre la privacidad de los usuarios, censurando contenido políticamente controvertido y por motivos de seguridad nacional, pero aún no ha terminado, ya que la seguridad de miles de millones de usuarios de TikTok estaría ahora en tela de juicio.

La famosa aplicación china para compartir vídeos virales contenía vulnerabilidades potencialmente peligrosas que podrían haber permitido a los atacantes remotos secuestrar cualquier cuenta de usuario con solo conocer el número móvil de víctimas objetivo.

En un informe compartido en privado con The Hacker News, los investigadores de ciberseguridad en Check Point revelaron que encadenar múltiples vulnerabilidades les permitía ejecutar de forma remota código malicioso y realizar acciones no deseadas en nombre de las víctimas sin su consentimiento.

Las vulnerabilidades reportadas incluyen problemas de baja gravedad como suplantación de enlaces SMS, redirección abierta y scripting entre sitios (XSS) que, cuando se combinan, podrían permitir que un atacante remoto realice ataques de alto impacto, que incluyen:

• eliminar cualquier vídeo del perfil de TikTok de las víctimas,
• subir vídeos no autorizados al perfil TikTok de las víctimas,
• hacer públicos los vídeos privados "ocultos",
• revelar información personal guardada en la cuenta, como direcciones privadas y correos electrónicos.

El ataque aprovecha un sistema de SMS inseguro que TikTok ofrece en su sitio web para permitir a los usuarios enviar un mensaje a su número de teléfono con un enlace para descargar la aplicación para compartir vídeos.

Según los investigadores, un atacante puede enviar un mensaje SMS a cualquier número de teléfono en nombre de TikTok con una URL de descarga modificada a una página maliciosa diseñada para ejecutar código en un dispositivo objetivo con la aplicación TikTok ya instalada.

Cuando se combina con la redirección abierta y los problemas de secuencias de comandos entre sitios, el ataque podría permitir a los piratas informáticos ejecutar código JavaScript en nombre de las víctimas tan pronto como hagan clic en el enlace enviado por el servidor TikTok a través de SMS, como se muestra en la demostración de video Check Point de arriba.

La técnica se conoce comúnmente como ataque de falsificación de solicitudes entre sitios, en el que los atacantes engañan a los usuarios autenticados para que ejecuten una acción no deseada.

hacking titktok con un SMS

hacking titktok con un SMS, detalle

"Con la falta de un mecanismo de falsificación de solicitudes anti-Cross-Site, nos dimos cuenta de que podíamos ejecutar código JavaScript y realizar acciones en nombre de la víctima, sin su consentimiento", dijeron los investigadores en una publicación de blog publicada hoy.

"Redirigir al usuario a un sitio web malicioso ejecutará un código JavaScript y hará solicitudes a Tiktok con las cookies de las víctimas".

Check Point informó de manera responsable estas vulnerabilidades a ByteDance, el desarrollador de TikTok, a fines de noviembre de 2019, quien luego lanzó una versión parcheada de su aplicación móvil dentro de un mes para proteger a sus usuarios de los piratas informáticos.

Si no estás ejecutando la última versión de TikTok disponible en las tiendas de aplicaciones oficiales para Android e iOS, se recomienda actualizarla lo antes posible.

Jesus_Caceres