TikTok Flaw Lay Bare Phone Numbers, User ID for Phishing Attacks - Calendae | Informática, Electrónica, CMS, Ciberseguridad

TikTok Flaw Lay Bare Phone Numbers, User ID for Phishing Attacks

Hola, ¿qué tal colega?. Yo soy Eduardo Arroyo y en esta ocasión vamos a hablar sobre TikTok Flaw Lay Bare Phone Numbers, User ID for Phishing Attacks

TikTok Flaw Lay Bare Phone Numbers, User ID for Phishing Attacks

Una falla de seguridad en TikTok podría haber permitido a los atacantes consultar la base de datos de la plataforma, lo que podría dar lugar a violaciones de la privacidad.

Una vulnerabilidad en la popular plataforma para compartir videos de TikTok podría haber permitido a los atacantes compilar fácilmente los números de teléfono de los usuarios, las ID de usuario únicas y otros datos listos para el phishing.

TikTok, propiedad de ByteDance, tiene más de 800 millones de usuarios activos en todo el mundo. La vulnerabilidad, que fue informada y corregida antes de su divulgación el martes, existía en la función «Buscar amigos» de la aplicación móvil TikTok. Esta función permite a los usuarios encontrar a sus amigos, a través de sus contactos, a través de Facebook o invitando a amigos.

Para ayudar a los usuarios a encontrar amigos a través de sus contactos, TikTok incluía una función de sincronización para los contactos que tenían cuentas de TikTok. Esto significa que puede vincular los detalles del perfil con los números de teléfono. Los investigadores dijeron que un atacante podría usar esta función para consultar toda la base de datos de TikTok, lo que podría generar violaciones de privacidad.

«La vulnerabilidad podría haber permitido a un atacante crear una base de datos con los detalles del usuario y sus números de teléfono», dijo Oded Vanunu, Gerente de Investigación de Vulnerabilidad de Producto en Check Point. «Un atacante con ese nivel de información confidencial podría realizar una variedad de actividades maliciosas, como spear phishing u otras acciones delictivas».

Para lanzar un ataque, un mal actor primero tendría que pasar por alto el mecanismo de firma de mensajes HTTP de TikTok, que tiene como objetivo proteger a los actores de amenazas para que no manipulen los mensajes HTTP o modifiquen el cuerpo de la solicitud HTTP.

Los investigadores pudieron lograr esto utilizando el servicio de firma de TikTok, que se ejecuta en segundo plano. Usando un marco de análisis dinámico como Frida, un atacante podría enganchar la función, modificar los datos del argumento de la función (en este caso, los contactos que el atacante quiere sincronizar) y volver a firmar la solicitud modificada para ser enviada al servidor de aplicaciones de TikTok. .

La función «Buscar amigos» de TikTok. Crédito: Investigación de Check Point

A partir de ahí, un atacante podría automatizar el proceso de carga y sincronización de contactos a gran escala. Esto podría permitirles crear una base de datos de usuarios y sus números de teléfono vinculados. Otros detalles de perfil a los que se podría acceder incluyen el apodo asociado con la cuenta, las imágenes de perfil y avatar, ID de usuario únicos y algunas configuraciones de perfil, como si un usuario es un seguidor o si el perfil del usuario está oculto. Este tipo de datos puede proporcionar a los atacantes las herramientas que necesitan para los ataques de ingeniería social utilizados en correos electrónicos de phishing y spear-phishing. Por ejemplo, si un atacante le demuestra a una víctima de phishing que tiene su número de teléfono o ID de usuario únicos asociados con su cuenta de TikTok, es más probable que la víctima les crea.

Una advertencia a tener en cuenta es que esta falla solo puede haber afectado a los usuarios que eligieron asociar un número de teléfono con su cuenta o que iniciaron sesión con un número de teléfono. Ninguna de estas opciones es necesaria para los usuarios.

Los investigadores revelaron sus hallazgos a ByteDance, que implementó una solución. Ahora, bajo la función «Buscar amigos», los usuarios solo pueden invitar a sus amigos en lugar de descubrir contactos que tienen cuentas de TikTok.

«La seguridad y privacidad de la comunidad de TikTok es nuestra máxima prioridad y apreciamos el trabajo de socios confiables como Check Point en la identificación de problemas potenciales para que puedan resolverse antes de que afecten a los usuarios», dijo un portavoz de TikTok en una declaración. «Continuamos fortaleciendo nuestras defensas, tanto actualizando constantemente nuestras capacidades internas, por ejemplo, invirtiendo en defensas de automatización, como trabajando con terceros».

TikTok, que previamente provocó controversia sobre sus políticas de privacidad, a principios de 2020 enfrentó el escrutinio de varias vulnerabilidades encontradas en su plataforma. Los investigadores dijeron que la vulnerabilidad más grave en la plataforma podría permitir a los atacantes tomar el control de forma remota sobre partes de las cuentas de TikTok de las víctimas, como cargar o eliminar videos, y cambiar la configuración de video para hacer públicos los videos «ocultos».

Vanunu instó a los usuarios de TikTok a «compartir lo mínimo cuando se trata de datos personales» y «actualizar el sistema operativo y las aplicaciones a las últimas versiones».

.

Puedes compartir en tus redes sociales para que tus amigos lo vean

??? ? ? ???

Comparte