COMO hackear Tik Tok con un SMS


Investigadores de seguridad encontraron varias vulnerabilidades dentro de la infraestructura de TikTok. Estas permitieron que los atacantes potenciales secuestraran cuentas para manipular los vídeos de los usuarios y robar su información personal.


App TikTok


TikTok es un plataforma de redes sociales propiedad de ByteDance con cede en Beijing, con oficinas en todo el mundo. Los servidores están ubicados en los países en donde operan sus aplicaciones iOS y Android. Esta aplicación se utiliza para compartir vídeos móviles en un bucle de forma corta de 3 a 60 segundos.

La aplicación de Android de la plataforma actualmente tiene más de 500,000,000 instalaciones de acuerdo con las estadísticas de Google Play Store. Además, ha alcanzado la marca de 1,5 mil millones de instalaciones en todas las plataformas móviles hasta noviembre de 2019. Esto según las estimaciones de Sensor Tower Store Intelligence.

Las aplicaciones de TikTok y su backend eran vulnerables a ataques, esto demuestran los investigadores de Check Point en un informe compartido a principios de marzo de este año.

Los problemas de seguridad fueron revelados a ByteDance a fines de noviembre, y la compañía corrigió las vulnerabilidades en un mes.

 

El Sistema de SMS de TikTok vulnerable

 El sistema de SMS de TikTok permitió al equipo de investigación de Check Point manipular los datos de la cuenta agregando y eliminando vídeos. Demostrando problemas de intrusión en la privacidad al cambiar la configuración del vídeo de privado a público. Asimismo, exfiltraron datos personales del usuario, incluyendo el nombre completo, la dirección de correo electrónico y el cumpleaños.

Como lo demuestra Check Point Research, los atacantes podrían haber explotado estas vulnerabilidades a través del sistema de SMS de TikTok para:

  • Cargar vídeos no autorizados y eliminar vídeos de los usuarios
  • Cambiar vídeos de usuarios de privados a públicos
  • Robar datos  personales confidenciales
Para poder realizar estas acciones maliciosas, los ciberdelincuentes podían enviar enlaces de descarga de aplicaciones al número de teléfono de cualquier usuario a través de SMS. Estos mensajes que suplantaban a TikTok les permitió inyectar y ejecutar código malicioso.
Además, los atacantes pueden redirigir a los usuarios de TikTok a un servidor web que controlan utilizando la misma táctica controlada. Esto hace posible que los hackers envíen solicitudes no deseadas en nombre de sus víctimas.
"La redirección abre la posibilidad de realizar falsificación de solicitudes entre sitios, secuencias de comandos entre sitios, además de ataques de explosión de datos confidenciales sin el consentimiento del usuario".


¿Qué medidas tomar?

Si no estas usando la última versión de TikTok disponible en las tiendas de aplicaciones para Android e iOS, te recomendamos actualizarla lo antes posible.












publicado por Hackwise
enero 2020

Comentarios

Entradas populares