Los investigadores de seguridad cibernética de Imperva han descubierto una falla en la popular aplicación de redes sociales TikTok que podría haber permitido a los actores de amenazas filtrar datos confidenciales de los dispositivos de las víctimas para usarlos en ataques de robo de identidad, phishing o chantaje.
La vulnerabilidad, que ya se solucionó, se encontró en la forma en que la aplicación manejaba los mensajes entrantes. Al explicar el método, los investigadores dijeron que los atacantes podrían enviar un mensaje malicioso a la aplicación web TikTok a través de la API PostMessage, que pasaría por alto cualquier medida de seguridad.
El controlador de eventos del mensaje luego procesaría el mensaje y lo consideraría seguro, otorgando al atacante acceso a la información valiosa.
Detalles de la cuenta de usuario
Al explotar la vulnerabilidad, los atacantes podrían obtener acceso a un tesoro de datos valiosos, como datos del dispositivo del usuario (tipo de dispositivo, sistema operativo, navegador utilizado, etc.), videos vistos (qué videos vio la víctima), el tiempo dedicado en cada video, datos de la cuenta del usuario (nombres de usuario, videos, otros detalles de la cuenta), consultas de búsqueda (lo que el usuario buscó en la plataforma).
Incluso sin las vulnerabilidades, TikTok es una aplicación controvertida, por decirlo suavemente. Fue construido por una empresa china llamada ByteDance y tiene más de 1.500 millones de usuarios (más de 150 millones solo en los EE. UU.).
Recientemente, el gobierno de EE. UU. comenzó a examinar y prohibir las empresas chinas, alegando que su gobierno tiene un control estricto sobre ellas y podría obligarlas a permitir el acceso de puerta trasera no autorizado en cualquier momento.
A Huawei se le prohibió desarrollar la infraestructura 5G en los Estados Unidos, por esa misma razón. En cuanto a TikTok, el gobierno de EE. UU. primero obligó a la empresa a almacenar todos los datos en el país y luego, recientemente, les dijo a sus empleados que eliminaran la aplicación de los dispositivos emitidos por el gobierno, citando asuntos de seguridad nacional.
TikTok, al igual que muchas otras empresas chinas, niega cualquier participación en cualquier irregularidad.