TikTok lanza parche que neutraliza vulnerabilidad con la que se robaban datos de usuarios
El apartado de TikTok para encontrar amigos entre nuestros contactos tenía un fallo grave que comprometía nuestra información privada.
TikTok en el 2020 fue vista como un «peligro de seguridad nacional» por la administración del ya expresidente Donald Trump en Estados Unidos.
Las acusaciones que se dieron en aquel momento venían porque la app de origen chino servía como «espía para el gobierno comunista» de dicho país. Eso provocó que la app corriera el riesgo de ser vetada en territorio norteamericano si sus acciones no eran adquiridas por una compañía estadounidense. De hecho, Oracle tenía todo casi listo para adquirir la app.
Pero ahora, con el cambio de administración en la Casa Blanca ya en poder de Joe Biden, la red social puede tomar un pequeño respiro. Sin embargo, y por desgracia, no se puede decir esto mismo de sus usuarios, quienes habrían estado expuestos a una seria falla de seguridad dentro de la plataforma.
La buena noticia es que TikTok ha logrado parchar este error crítico en su sistema. Pero la historia detrás de este incidente ha dejado mucho en qué pensar.
Gracias a su programa de recompensas
Durante las negociaciones con la anterior administración de Trump en Estados Unidos para no cerrar su operación, TikTok se vio obligado a lanzar un programa de búsqueda y recompensas por encontrar bugs dentro de la app.
De esta forma, la gente de Check Point Research encontró un error delicado que se detectó en el código de la app, el cual permitía distintos niveles de manipulación.
Esta vulnerabilidad descubierta por dicha firma habría permitido a los ciberatacantes usar la función Friend Finder de la aplicación con el objetivo de robar los detalles del perfil y los números de teléfono de los usuarios. Luego utilizaron esos datos para crear una base de datos de información que podría usarse para perpetrar ataques maliciosos.
Para lograr esto, los hackers de sombrero blanco desarrollaron un exploit a la medida. Todo esto tras notar la presencia de una falla en la forma en que los servidores de TikTok confirmaban las solicitudes de Friend Finder.
Esto era posible debido a que generaban un ID de dispositivo único para el teléfono móvil de cada usuario, junto con un token de usuario y una cookie de sesión.
El problema acá era que las cookies se mantenían validadas en el sistema por un lapso de 60 días, es decir, dos meses. Lo que hacía el camino fácil para explotarlas y vincularlas a dispositivos virtuales que permitían el robo de otros datos mediante ciertos procesos automatizados que hacían posible más acciones maliciosas.
Al final, Check Point Research armó una base de datos que incluía información delicada, con datos tales como:
- Números de teléfono
- Nicknames
- Fotos de perfil
- Avatares
- ID de usuario único
- Configuraciones de privacidad específicas para la cuenta
Como se dijo antes, este error finalmente ha sido parchado y ya no se corre el peligro de robar estos datos. Aunque el riesgo de ello estuvo ahí presente por bastante tiempo.
Con información de FayerWayer.
