Vulnerabilidad de TikTok permitía acceder a los datos del perfil de contactos

Manuel Abreu Ortiz
Publicado por: Manuel Abreu Ortiz - social@manuelabreuo.com

Investigadores de Check Point, han descubierto una vulnerabilidad en TikTok que podría haber permitido a los atacantes cosechar los números de teléfono y los detalles del perfil personal de los usuarios.

El fallo, que ya ha sido corregido por la popular red social, se encontró en la función “Find Friends” de la aplicación.

El problema se deriva del hecho de que TikTok permite a los usuarios sincronizar sus contactos telefónicos con la aplicación, conectando así los perfiles de los usuarios con los números de teléfono.

Si se explota, el fallo podría permitir a los atacantes saltarse la firma de mensajes HTTP de la aplicación para iniciar la sesión y, a continuación, sincronizar los contactos para descubrir los perfiles de todos los usuarios de TikTok en la agenda telefónica de la víctima.

Peor aún, el proceso de inicio de sesión por SMS desde un dispositivo móvil implicaba que los servidores de TikTok generaban un token y cookies de sesión, pero éstas no caducaban hasta pasados 60 días, lo que significaba que un atacante podía utilizar las mismas cookies para iniciar sesión durante semanas.

Entre los detalles del perfil expuestos por la vulnerabilidad, se encuentran el apodo de TikTok, las fotos del perfil y del avatar, las identificaciones únicas de los usuarios y la configuración, incluyendo si un usuario es seguidor o si el perfil de un usuario está oculto.

Vía | Ciberseguridad Latam