Investigadores de ciberseguridad de Imperva han descubierto un fallo en la popular aplicación de redes sociales TikTok que podría haber permitido a los actores de amenazas extraer datos confidenciales de los dispositivos de las víctimas para utilizarlos en ataques de suplantación de identidad, phishing o chantaje.
La vulnerabilidad, que ya ha sido corregida, se detectó en la forma en que la aplicación gestionaba los mensajes entrantes. Explicando el método, los investigadores dijeron que los atacantes podían enviar un mensaje malicioso a la aplicación web de TikTok a través de la API PostMessage, que pasaría por alto cualquier medida de seguridad.
A continuación, el gestor de eventos del mensaje lo procesaba y lo consideraba seguro, lo que permitía al atacante acceder a la valiosa información.
Los datos de cuenta del usuario
Al explotar la vulnerabilidad, los atacantes podían acceder a un botín de datos valiosos, como datos del dispositivo del usuario (tipo de dispositivo, sistema operativo, navegador utilizado, etc.), vídeos vistos (qué vídeos vio la víctima), el tiempo dedicado a cada vídeo, datos de la cuenta de usuario (nombres de usuario, vídeos, otros detalles de la cuenta), consultas de búsqueda (qué buscó el usuario en la plataforma).
Incluso sin las vulnerabilidades, TikTok es una aplicación controvertida, por decirlo suavemente. Fue creada por una empresa china llamada ByteDance y tiene más de 1.500 millones de usuarios (más de 150 millones sólo en Estados Unidos).
Recientemente, el gobierno de EE. UU. empezó a vigilar y prohibir las empresas chinas, alegando que su gobierno tiene un férreo control sobre ellas y podría obligarlas a permitir el acceso no autorizado por una puerta trasera en cualquier momento.
A Huawei se le prohibió desarrollar la infraestructura 5G en Estados Unidos, por esa misma razón. En cuanto a TikTok, el gobierno de Estados Unidos primero obligó a la empresa a almacenar todos los datos en el país, y luego recientemente dijo a sus empleados que eliminaran la aplicación de los dispositivos emitidos por el gobierno, citando cuestiones de seguridad nacional.
TikTok, al igual que muchas otras empresas chinas, niega estar implicada en ningún delito.
