Lo último:
Seguridad

Vulnerabilidad en TikTok expuso los datos del perfil y números de teléfono de sus usuarios

Gustavo Genez

Vulnerabilidad en TikTok permitía a obtener datos de los usuarios y sus números de teléfono.

El equipo de investigación «Check Point Research» reveló el martes un fallo ya parcheado en TikTok que permitía a los atacantes robar datos de todos los usuarios de la aplicación y sus números de teléfonos.

Esto se podría usar para crear una base de datos y usar la información de manera no legítima como ya hablamos el otro día en el caso de Facebook.

Hasta donde se sabe este fallo sólo afecta a los usuarios que han vinculado un número de teléfono con su cuenta o han iniciado sesión con un número de teléfono.

El fallo reside en la función «Buscar amigos» de TikTok, que permite a los usuarios sincronizar sus contactos con el servicio para identificar posibles personas a las que seguir. Los contactos se suben a TikTok a través de una petición HTTP en forma de lista que consiste en nombres de contactos con hash y sus correspondientes números de teléfono.

Lo siguiente que hace es enviar una segunda petición HTTP que recupera los perfiles de TikTok conectados a los números de teléfono enviados en la petición anterior. Esta respuesta incluye los nombres de los perfiles, los números de teléfono, las fotos y otra información relacionada con el perfil.

Cabe destacar que para solicitar datos al servidor de la aplicación TikTok, las peticiones HTTP deben incluir las cabeceras X-Gorgon y X-Khronos para la verificación del servidor, lo que garantiza que los mensajes no sean manipulados.

Pero al modificar las peticiones HTTP, el número de contactos que el atacante quiere sincronizar y volver a firmarlas con una firma de mensaje actualizada, el fallo permitió automatizar el procedimiento de carga y la sincronización de contactos a gran escala para crear una base de datos de cuentas vinculadas y sus números de teléfono conectados.

Más información:

https://blog.checkpoint.com/2021/01/26/tiktok-fixes-privacy-issue-discovered-by-check-point-research/

https://thehackernews.com/2021/01/tiktok-bug-could-have-exposed-users.html

La entrada Vulnerabilidad en TikTok expuso los datos del perfil y números de teléfono de sus usuarios se publicó primero en Una al Día.

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.

También te puede gustar

Detectadas graves vulnerabilidades en dispositivos SCADA Siemens SICLOCK

Gustavo Genez

Nuevo malware utiliza el Subsistema Linux de Windows (WSL) para no ser detectado

Gustavo Genez

Pinpoint del status de mensajería puede determinar una ubicación

Gustavo Genez