TikTok se ha convertido en una de las redes sociales más usadas del mundo, predominando sobre todo entre jóvenes y adolescentes. Es por ello que la seguridad de la app debería ser mirada con lupa, pero investigadores de Check Point han descubierto una grave vulnerabilidad que ha expuesto a los usuarios a ser espiados.

Si has recibido un SMS falso, un hacker ha tomado el control de tu cuenta de TikTok

La aplicación de TikTok cuenta ya con más de 1.000 millones de usuarios en más de 150 países, y todos ellos han estado expuestos a que cibercriminales puedan ver, añadir y eliminar vídeos, modificar configuraciones de privacidad (poner vídeos privados como públicos), y básicamente obtener todos los datos personales que los usuarios tengan en esa red, incluyendo nombre, email o fecha de nacimiento.

Los vídeos de esta plataforma pueden tener contenido muy sensible, sobre todo si hablamos de menores. Tanta es su peligrosidad, que incluso Estados Unidos ha anunciado esta semana la prohibición de usar la app por parte de sus soldados por ser una posible ciberamenaza.

La vulnerabilidad funcionaba de la siguiente manera. En la web oficial de TikTok es posible enviar un SMS al móvil con el enlace para descargar la app. Los investigadores descubrieron que un atacante puede hacerse pasar por TikTok y enviar un SMS con un enlace falso. Al hacer click, el atacante puede tomar el control de la cuenta y hacer lo que quiera con ella. Además, el atacante puede solicitar el envío del SMS a cualquier móvil, modificando fácilmente el enlace que los usuarios recibían.

Otro método de ataque que descubrieron los investigadores permitía a un hacker enviar solicitudes no deseadas en nombre del usuario al entrar en un servidor web bajo su control. A su vez, también descubrieron un ataque XSS en el dominio ads.tiktok.com, la cual permitía inyectar scripts maliciosos en la web.

TikTok ya ha solucionado la vulnerabilidad

Así, los atacantes tenían dos vías de ataque: tomar el control de la cuenta mediante SMS falsos, y redirigir a los usuarios a webs maliciosas que ejecutaban JavaScript y que hacían solicitudes a TikTok con sus cookies. En el siguiente vídeo podemos ver cómo funcionaba el ataque

Tras descubrir las vulnerabilidades, Check Point informó a TikTok para que las arreglara, y ya han sido subsanadas. Al ser todas relacionadas con la web o servicios de la propia TikTok, no es necesario actualizar la aplicación para protegerse del fallo. No se sabe si ha habido atacantes que se hayan aprovechado de la vulnerabilidad. Un posible atacante tampoco habría tenido acceso a la contraseña, a no ser que nos hubiéramos logueado en alguna web falsa propiedad del hacker. Por tanto, “sólo” han podido acceder a información como el nombre o el email.

Check Point ha querido recordar los peligros que entrañan este tipo de vulnerabilidades, ya que las filtraciones de datos se están convirtiendo en una epidemia que permite a atacantes hacerse con nuestros datos. Webs como Haveibeenpwned han superado ya los 9.300 millones de cuentas hackeadas en su base de datos, y la cifra no para de crecer.