Los investigadores de Check Point Research han descubierto una grave vulnerabilidad en TikTok que permitía el robo del número de teléfono y la creación de una base de datos para venderla al mejor postor, como ocurrió con Facebook. El error ha sido corregido por la casa china de software, pero el problema de seguridad pone de manifiesto una vez más que ninguna aplicación es perfecta.
TikTok: error corregido, no hay peligro
La vulnerabilidad estaba presente en la función Friend Finder que permite encontrar amigos en TikTok tras sincronizar los contactos almacenados en el smartphone. Esto crea un vínculo entre el perfil y el número de teléfono (que no es necesario para abrir una cuenta).
La aplicación primero sube los contactos al servidor mediante una petición HTTP. A continuación, se envía una solicitud de sincronización para recuperar todos los perfiles asociados a los números de teléfono enviados anteriormente. El servidor responde entonces con los detalles de los perfiles (nombre, identificador único, foto y número de teléfono).
Se crea un token y una cookie de sesión para cada dispositivo. Sin embargo, Check Point descubrió que estos eran válidos durante 60 días. Utilizando el identificador del dispositivo, el token y la cookie de sesión, se podría utilizar un dispositivo virtual para modificar las peticiones HTTP, automatizar el proceso de sincronización de contactos y crear una base de datos con los números de teléfono de los usuarios.
Los ciberdelincuentes más astutos podrían recopilar millones de números y llevar a cabo diversas acciones que amenazan la privacidad, como ataques de phishing selectivo o la venta de la base de datos. La vulnerabilidad ha sido corregida por TikTok, por lo que se recomienda encarecidamente instalar las últimas versiones de las aplicaciones para Android e iOS.