Vulnerabilidad En TikTok Expuso Los Datos Del Perfil Y Números De Teléfono De Sus Usuarios

Vulnerabilidad en TikTok permitía a obtener datos de los usuarios y sus números de teléfono.

El equipo de investigación «Check Point Research» reveló el martes un fallo ya parcheado en TikTok que permitía a los atacantes robar datos de todos los usuarios de la aplicación y sus números de teléfonos.

Esto se podría usar para crear una base de datos y usar la información de manera no legítima como ya hablamos el otro día en el caso de Facebook.

Hasta donde se sabe este fallo sólo afecta a los usuarios que han vinculado un número de teléfono con su cuenta o han iniciado sesión con un número de teléfono.

El fallo reside en la función «Buscar amigos» de TikTok, que permite a los usuarios sincronizar sus contactos con el servicio para identificar posibles personas a las que seguir. Los contactos se suben a TikTok a través de una petición HTTP en forma de lista que consiste en nombres de contactos con hash y sus correspondientes números de teléfono.

Lo siguiente que hace es enviar una segunda petición HTTP que recupera los perfiles de TikTok conectados a los números de teléfono enviados en la petición anterior. Esta respuesta incluye los nombres de los perfiles, los números de teléfono, las fotos y otra información relacionada con el perfil.

Cabe destacar que para solicitar datos al servidor de la aplicación TikTok, las peticiones HTTP deben incluir las cabeceras X-Gorgon y X-Khronos para la verificación del servidor, lo que garantiza que los mensajes no sean manipulados.

Pero al modificar las peticiones HTTP, el número de contactos que el atacante quiere sincronizar y volver a firmarlas con una firma de mensaje actualizada, el fallo permitió automatizar el procedimiento de carga y la sincronización de contactos a gran escala para crear una base de datos de cuentas vinculadas y sus números de teléfono conectados.

Más información:

https://blog.checkpoint.com/2021/01/26/tiktok-fixes-privacy-issue-discovered-by-check-point-research/

https://thehackernews.com/2021/01/tiktok-bug-could-have-exposed-users.html


Via: unaaldia.hispasec.com
Vulnerabilidad En TikTok Expuso Los Datos Del Perfil Y Números De Teléfono De Sus Usuarios Vulnerabilidad En TikTok Expuso Los Datos Del Perfil Y Números De Teléfono De Sus Usuarios Reviewed by Anónimo on 17:32 Rating: 5