En los últimos meses, la aplicación de edición de videos cortos, TikTok, ha sido señalada por ser considerada un riesgo potencial para la seguridad nacional de Estados Unidos, e incluso ha sido prohibida por el cuerpo de la Marina a su personal.

Ahora se han descubierto múltiples vulnerabilidades dentro de la aplicación china, que permiten a los cibercriminales ejecutar acciones, como subir videos no autorizados, manipular contenido y hasta revelar información personal de la cuenta hackeada.

Suplantación de enlaces a través de SMS

Según la investigación realizada por Check Point Research, una de la vulnerabilidades es que los hackers puedan enviar un mensaje SMS a cualquier número de teléfono en nombre de TikTok. Como resultado, los atacantes pueden agregar un enlace malicioso dentro del mensaje, que es casi imperceptible.

Al utilizar este ataque, los criminales también pueden enviar un enlace personalizado que redirige a un sitio web desde la aplicación móvil. Cuando la aplicación abre la ventana, el usuario va hacia un dominio controlado por el atacante, lo que hace posible que puedan enviar solicitudes en nombre de la víctima.

Ataque Cross Site Scripting (XSS)

En la investigación se descubrió que TikTok también era vulnerable a los ataques XSS, un tipo de atentado en el que se emplean secuencias de comandos maliciosas en sitios web confiables.

El ataque XSS se encontró en la función de búsqueda del sitio web de anuncios de TikTok. Cuando el criminal intenta realizar una búsqueda se realiza una solicitud HTTP GET al servidor de aplicaciones web para intentar inyectar el código JavaScript.

Realizar acciones en nombre del usuario

Al faltar un mecanismo anti falsificación de solicitudes XSS, la investigación demostró que se puede ejecutar código JavaScript para realizar acciones, como eliminar un video en nombre de la víctima, sin su consentimiento.

También se puede crear un video nuevo en el feed del usuario. Primero el cibercriminal debe solicitar la creación de un video en su propio feed, para luego copiar la solicitud y generar una nueva identificación para el contenido, utilizando JavaScript.

Aceptar solicitudes de seguidores

Este ataque utiliza los mismos métodos de ejecución de JavaScript. Para lograrlo, se envía una solicitud de aprobación y una HTTP Post a una ruta específica.

En este punto, los criminales pueden cambiar el valor del parámetro from_user_id a su propia identificación y enviar la solicitud al servidor de TikTok.

Robo de datos personales

Usando código JavaScript y otros métodos como XSS, los atacantes pueden revelar información confidencial de un usuario, como correo electrónico, información de pago, fecha de nacimiento y otros datos.

Para conseguir toda la información personal de una cuenta, se tienen que eludir los mecanismos de seguridad de intercambio de recursos de origen cruzado (CORS) y las restricciones de seguridad de la Política de mismo origen (SOP).Los atacantes pueden eludir estos mecanismos de seguridad gracias a la activación de la solicitud AJAX con la devolución de llamada JSONP, que permite descargar los datos de servidores API sin restricciones.

LEAVE A REPLY

Please enter your comment!
Please enter your name here