El popular TikTok puede explotarse con un SMS falsificado

20160817_chkp_graphic

Resumen del editor: La revolución de TikTok que ha suplantado a muchas de las otras redes sociales como Facebook e Instagram en Asia, puede tener un lado más oscuro, donde los piratas informáticos pueden explotarlo con un mensaje SMS falsificado, como lo reveló Check Point Research. El comunicado de prensa del proveedor se encuentra a continuación.

La investigación de Check Point revela múltiples vulnerabilidades en TikTok

SINGAPUR, @mcgallen #microwireinfo, 9 de enero de 2020 - Check Point Research, el brazo de inteligencia de amenazas de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder de soluciones de seguridad cibernética a nivel mundial, reveló hoy que descubrió múltiples vulnerabilidades en TikTok que podrían haber permitido que los ataques manipulen el contenido de las cuentas de los usuarios e incluso extraigan información personal confidencial guardada en estas cuentas.

TikTok es utilizado principalmente por adolescentes y niños que usan esta aplicación para compartir, guardar y mantener videos privados (y a veces muy sensibles) de ellos mismos y sus seres queridos. La investigación encontró que un atacante podría enviar un mensaje SMS falsificado a un usuario que contenga un enlace malicioso. Cuando el usuario hizo clic en el enlace malicioso, el atacante pudo apoderarse de la cuenta de TikTok y manipular su contenido eliminando videos, cargando videos no autorizados y haciendo públicos los videos privados u "ocultos".

La investigación también encontró que el subdominio de Tiktok https://ads.tiktok.com era vulnerable a los ataques XSS, un tipo de ataque en el que se inyectan scripts maliciosos en sitios web que de otro modo serían benignos y confiables. Los investigadores de Check Point aprovecharon esta vulnerabilidad para recuperar información personal guardada en cuentas de usuario, incluidas direcciones de correo electrónico privadas y fechas de nacimiento.

Check Point Research informó a los desarrolladores de TikTok sobre las vulnerabilidades expuestas en esta investigación y se implementó una solución de manera responsable para garantizar que sus usuarios puedan continuar usando la aplicación TikTok de manera segura.

"Los datos son omnipresentes, pero las filtraciones de datos se están convirtiendo en una epidemia, y nuestra última investigación muestra que las aplicaciones más populares todavía están en riesgo", dijo Oded Vanunu, jefe de investigación de vulnerabilidad de productos de Check Point. “Las aplicaciones de redes sociales están muy orientadas a las vulnerabilidades, ya que proporcionan una buena fuente de datos privados y ofrecen una buena puerta de superficie de ataque. Los actores maliciosos están gastando grandes cantidades de dinero y haciendo un gran esfuerzo para penetrar en aplicaciones tan grandes. Sin embargo, la mayoría de los usuarios asumen que están protegidos por la aplicación que están usando ".

Luke Deshotels, PhD, Equipo de seguridad de TikTok: “TikTok se compromete a proteger los datos del usuario. Como muchas organizaciones, animamos a los investigadores de seguridad responsables a que nos revelen de forma privada las vulnerabilidades de día cero. Antes de la divulgación pública, CheckPoint acordó que todos los problemas informados se corrigieron en la última versión de nuestra aplicación. Esperamos que esta resolución satisfactoria fomente la colaboración futura con los investigadores de seguridad ”.

Disponible en más de 150 mercados, utilizado en 75 idiomas a nivel mundial y con más de mil millones de usuarios, TikTok es definitivamente una de las aplicaciones más descargadas. A octubre de 1, TikTok es la aplicación más descargada en los Estados Unidos, lo que la convierte en la primera aplicación china en lograr tal récord.

Más información sobre la investigación está disponible en el blog de Check Point Research.

Acerca de Check Point Research
Check Point Research proporciona inteligencia líder sobre amenazas cibernéticas a los clientes de Check Point Software y a la comunidad de inteligencia en general. El equipo de investigación recopila y analiza datos globales de ciberataques almacenados en ThreatCloud para mantener a raya a los piratas informáticos, al tiempo que se asegura de que todos los productos de Check Point estén actualizados con las últimas protecciones. El equipo de investigación está formado por más de 100 analistas e investigadores que cooperan con otros proveedores de seguridad, las fuerzas del orden y varios CERT.

Siga Check Point Research a través de:

Acerca de Check Point Software Technologies Ltd.Check Point Software Technologies Ltd. (www.checkpoint.com) es un proveedor líder de soluciones de seguridad cibernética para gobiernos y empresas corporativas a nivel mundial. Las soluciones de Check Point protegen a los clientes de los ciberataques de quinta generación con una tasa de captura líder en la industria de malware, ransomware y amenazas dirigidas avanzadas. Check Point ofrece una arquitectura de seguridad multinivel, "Infinity Total Protection con prevención de amenazas avanzada Gen V", esta arquitectura de producto combinada defiende la nube, la red y los dispositivos móviles de una empresa. Check Point proporciona el sistema de gestión de seguridad de un solo punto de control más completo e intuitivo. Check Point protege a más de 5 organizaciones de todos los tamaños.

###