Cabecera-v2-web.jpg

Vulnerabilidad en TikTok permitiría a un atacante publicar vídeos Spam en el perfil del usuario


TikTok es una red social China para móviles que cuenta con más de 1.000 millones de usuarios, donde usualmente se publican vídeos musicales o de carácter humorístico, con el fin de ganar seguidores y crear tendencias para los usuarios. Ha ganado mucha popularidad en estos últimos meses, principalmente en los usuarios jóvenes.

¿Qué pasó?

Recientemente se ha descubierto una vulnerabilidad en TikTok que de ser explotada, permitiría a un atacante obtener acceso al historial de videos de los usuarios, así como también de modificar los vídeos y publicarlos en el perfil de la víctima, todo esto con fines maliciosos. Un ejemplo claro puede ser visualizado en este vídeo, donde los atacantes publican vídeos con información y recomendaciones falsas sobre el COVID-19, en la cuenta oficial de la OMS (Organización Mundial de la Salud).

Este fallo se da debido a que TikTok no cuenta con conexión cifrada, es decir, los videos y fotografías que los usuarios suban, van por HTTP (Protocolo de Transferencia de Hipertexto), y pueden ser interceptados.

Sin embargo, es importante aclarar que para la explotación exitosa o aprovechamiento de esta vulnerabilidad, un atacante debe estar autenticado en la misma red que su víctima o tener acceso al router desde donde están conectados los usuarios víctimas. Esto disminuye el riesgo de un posible ataque o violación de privacidad.

Recomendaciones:

  • Desde TikTok aún no han lanzado las actualizaciones de seguridad que abordan esta vulnerabilidad, por lo que debe estar atento a las actualizaciones de seguridad disponible en la PlayStore para Android o en la AppStore para iOS.
  • Por otro lado, debe tener cuidado con los vídeos que se visualizan en la aplicación, ya que estos pueden ser modificados muy fácilmente, así que no confíe en la información brindada a través de estos medios, en muchos casos puede ser falsa o malintencionada.
  • Además, no debe compartir compartir toda su información personal, solo la necesaria, esto es para proteger su privacidad y evitar posibles ataques cibernéticos, entre ellos los ataques phishing.

Referencias:


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11