Investigadores demuestran cómo piratear cualquier cuenta de TikTok enviando SMS

TikTok , la tercera aplicación más descargada en 2019, está bajo un intenso escrutinio sobre la privacidad de los usuarios, censurando contenido políticamente controvertido y por motivos de seguridad nacional, pero aún no ha terminado, ya que la seguridad de miles de millones de usuarios de TikTok ahora estaría en cuestión.

La famosa aplicación china para compartir videos virales contenía vulnerabilidades potencialmente peligrosas que podrían haber permitido a los atacantes remotos secuestrar cualquier cuenta de usuario con solo conocer el número móvil de víctimas objetivo.

En un informe compartido en privado con The Hacker News, los investigadores de ciberseguridad en Check Point revelaron que encadenar múltiples vulnerabilidades les permitía ejecutar de forma remota código malicioso y realizar acciones no deseadas en nombre de las víctimas sin su consentimiento.

Las vulnerabilidades reportadas incluyen problemas de baja gravedad como suplantación de enlaces SMS, redirección abierta y scripting entre sitios (XSS) que, cuando se combinan, podrían permitir que un atacante remoto realice ataques de alto impacto, que incluyen:

- eliminar cualquier video del perfil de TikTok de las víctimas,
- subir videos no autorizados al perfil TikTok de las víctimas,
- hacer públicos los videos privados "ocultos",
- revelar información personal guardada en la cuenta, como direcciones privadas y correos electrónicos.

El ataque aprovecha un sistema de SMS inseguro que TikTok ofrece en su sitio web para permitir a los usuarios enviar un mensaje a su número de teléfono con un enlace para descargar la aplicación para compartir videos.


Según los investigadores, un atacante puede enviar un mensaje SMS a cualquier número de teléfono en nombre de TikTok con una URL de descarga modificada a una página maliciosa diseñada para ejecutar código en un dispositivo objetivo con la aplicación TikTok ya instalada.






Cuando se combina con la redirección abierta y los problemas de secuencias de comandos entre sitios, el ataque podría permitir a los piratas informáticos ejecutar código JavaScript en nombre de las víctimas tan pronto como hagan clic en el enlace enviado por el servidor TikTok a través de SMS, como se muestra en el video Check Point compartido con The Hacker News.

La técnica se conoce comúnmente como ataque de falsificación de solicitudes entre sitios, en el que los atacantes engañan a los usuarios autenticados para que ejecuten una acción no deseada.

"Con la falta de un mecanismo de falsificación de solicitudes anti-Cross-Site, nos dimos cuenta de que podíamos ejecutar código JavaScript y realizar acciones en nombre de la víctima, sin su consentimiento", dijeron los investigadores en una publicación de blog  publicada hoy.

"Redirigir al usuario a un sitio web malicioso ejecutará un código JavaScript y hará solicitudes a Tiktok con las cookies de las víctimas".

Check Point informó de manera responsable estas vulnerabilidades a ByteDance, el desarrollador de TikTok, a fines de noviembre de 2019, quien luego lanzó una versión parcheada de su aplicación móvil en un mes para proteger a sus usuarios de los piratas informáticos.

Si no está ejecutando la última versión de TikTok disponible en las tiendas de aplicaciones oficiales para Android e iOS, se recomienda actualizarla lo antes posible.

Vía: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta