Vulnerabilidad en TikTok permitía a obtener datos de los usuarios y sus números de teléfono.
El equipo de investigación «Check Point Research» reveló el martes un fallo ya parcheado en TikTok que permitía a los atacantes robar datos de todos los usuarios de la aplicación y sus números de teléfonos.
Esto se podría usar para crear una base de datos y usar la información de manera no legítima como ya hablamos el otro día en el caso de Facebook.
Hasta donde se sabe este fallo sólo afecta a los usuarios que han vinculado un número de teléfono con su cuenta o han iniciado sesión con un número de teléfono.
El fallo reside en la función «Buscar amigos» de TikTok, que permite a los usuarios sincronizar sus contactos con el servicio para identificar posibles personas a las que seguir. Los contactos se suben a TikTok a través de una petición HTTP en forma de lista que consiste en nombres de contactos con hash y sus correspondientes números de teléfono.
Lo siguiente que hace es enviar una segunda petición HTTP que recupera los perfiles de TikTokconectados a los números de teléfono enviados en la petición anterior. Esta respuesta incluye los nombres de los perfiles, los números de teléfono, las fotos y otra información relacionada con el perfil.
Cabe destacar que para solicitar datos al servidor de la aplicación TikTok, las peticiones HTTP deben incluir las cabeceras X-Gorgon y X-Khronos para la verificación del servidor, lo que garantiza que los mensajes no sean manipulados.
Pero al modificar las peticiones HTTP, el número de contactos que el atacante quiere sincronizar y volver a firmarlas con una firma de mensaje actualizada, el fallo permitió automatizar el procedimiento de carga y la sincronización de contactos a gran escala para crear una base de datos de cuentas vinculadas y sus números de teléfono conectados.