Los expertos de Check Point encontraron muchos problemas en una de las aplicaciones más populares del mundo., Tik Tok. Recientemente, investigadores piratearon la aplicación TikTok usando SMS.
TikTok está disponible en más de 150 mercados, se utiliza en 75 idiomas en todo el mundo y tiene más de 1 mil millones de usuarios. En octubre 2019, TikTok fue considerada una de las aplicaciones más descargadas del mundo..
Los adolescentes y niños utilizan principalmente la aplicación para crear vídeos musicales cortos..
“En los últimos meses hemos visto evidencia de los riesgos potenciales inherentes a la aplicación TikTok., Y esto también ha sido reconocido por otros en la industria.. Según EE.UU. Hoy en día, La Marina de los EE. UU. prohibió el uso de la aplicación para su personal., mientras que en un artículo de The Guardian, El demócrata Chuck Schumer dice que la “aplicación TikTok representa un riesgo potencial para la seguridad nacional”. Además, El New York Times ha publicado que TikTok está bajo revisión de seguridad nacional.. Más reciente, CNet.com informó que el ejército de EE. UU. prohibió el uso de TikTok en teléfonos gubernamentales, revertir su política sobre la aplicación de entretenimiento, que utilizó recientemente como herramienta de contratación”, — escribir Especialistas en puntos de control.
Así que, conocer el número de teléfono de la víctima, Los atacantes podrían manipular las cuentas de otras personas y obtener acceso a datos personales.. De hecho, La combinación de varias vulnerabilidades permitió la ejecución remota de código malicioso y acciones indeseables por parte de las víctimas y sin su consentimiento..
Por separado, todas las vulnerabilidades detectadas tenían un nivel bajo de peligro y estaban asociadas con enlaces de suplantación de identidad en mensajes SMS, abrir redirecciones, y XSS.
Sin embargo, en combinación, Estos errores permitieron al atacante remoto realizar las siguientes acciones.:
- Eliminar cualquier vídeo del perfil de la víctima.;
- Sube videos no autorizados a tu perfil de víctimas;
- Hacer públicos los vídeos privados “ocultos”;
- Divulgar información personal almacenada en la cuenta., incluyendo direcciones y correos electrónicos.
Para realizar un ataque, Especialistas utilizaron el inseguro sistema de envío de SMS que ofrece TikTok en su sitio web: los usuarios pueden enviar un mensaje a su número de teléfono y obtener un enlace para descargar la aplicación.
"Como se vio despues, el atacante podría enviar un mensaje SMS en nombre de TikTok a cualquier número colocando en este mensaje una URL especial que conduzca a una página maliciosa diseñada para ejecutar código en un dispositivo con la aplicación TikTok ya instalada”., – decir en punto de control.
En combinación con problemas de redirecciones abiertas y secuencias de comandos entre sitios, el ataque permitió ejecutar código JavaScript en nombre de la víctima, inmediatamente después de que los usuarios hicieran clic en el enlace recibido por SMS.
A continuación se puede ver un vídeo de demostración del ataque..
Punto de control notificado ByteDanza, el desarrollador de tiktok, sobre estas vulnerabilidades a finales de noviembre 2019, y un mes después los desarrolladores lanzaron parches, solucionando todos los problemas encontrados.
Sólo recientemente se informó que le dijeron que the ToTok Arab messenger turned out to be a project of the UAE special services para una vigilancia total de sus ciudadanos y más allá. ¿Qué clase de maldición “tok” es esta?? Decir sospechoso a cualquier aplicación que tenga la palabra “Tok” en su nombre.
