Bogotá, Colombia

Vulnerabilidad en TikTok permitía a los atacantes tomar cualquier cuenta.

https://www.loading-systems.net/vulnerabilidad-en-tiktok-permitia-a-los-atacantes-tomar-cualquier-cuenta

Una vulnerabilidad de seguridad con TikTok permite a los atacantes inyectar cualquier video en los feeds de usuarios, el error también afecta a los usuarios verificados.

Los atacantes pueden aprovechar esta vulnerabilidad para hacer que sus videos sean populares.

TikTok es una popular plataforma móvil para compartir videos con sede en China y propiedad de ByteDance con sede en Beijing. Es la aplicación para compartir videos más popular, tiene más de 1.300 millones de usuarios en todo el mundo.

La seguridad de estos millones de usuarios está en tela de juicio ya que, investigadores de seguridad de Check Point han descubierto que la famosa aplicación china contenía una serie de vulnerabilidades potencialmente peligrosas que permitían secuestrar la cuenta de cualquier usuario simplemente conociendo su número de teléfono.

Entre las vulnerabilidades encontradas han sido reportadas algunas como por ejemplo suplantación de enlaces SMS, redirección abierta, e inyecciones XSS que, combinadas, permitían a los atacantes hacerse con el control de la cuenta.

Una vez que el atacante tenía acceso a la cuenta de la víctima podía eliminar cualquier vídeo del perfil, subir vídeos sin autorización, hacer públicos los vídeos privados y revelar la información personal guardada en la cuenta, como por ejemplo direcciones privadas y correos electrónicos.

Publicación de video falso usando una cuenta hackeada.

Como era de esperar, la empresa que detectó estas vulnerabilidades informó a los desarrolladores de TikTok, quienes no tardaron en lanzar una nueva versión donde se corregían estos fallos de seguridad.

Se recomienda actualizar a la última versión de la aplicación que está disponible en los markets oficiales de Android e iOS. Las versiones anteriores a TikTok para iOS (Versión 15.5.6) y TikTok para Android (Versión 15.7.4) todavía utilizan la conexión sin cifrar para conectarse con TikTok CDN.

Redacción: Loading Systems.