Investigadores de la firma de ciberseguridad Check Point revelaron este martes una falla de seguridad ahora parcheada en TikTok que podría haber permitido a un atacante construir una base de datos de los usuarios de la aplicación y sus números de teléfono asociados para futuras actividades maliciosas.
El error recién descubierto reside en la función «Buscar amigos» de TikTok que permite a los usuarios sincronizar sus contactos con el servicio para identificar a las personas potenciales a seguir.
Los contactos se cargan en TikTok a través de una solicitud HTTP en forma de una lista que consta de nombres de contactos con hash y los números de teléfono correspondientes, se envía una segunda solicitud HTTP que recupera los perfiles de TikTok conectados a los números de teléfono enviados en la solicitud anterior. Esta respuesta incluye nombres de perfil, números de teléfono, fotos y otra información relacionada con el perfil.
Si bien las solicitudes de contacto de carga y sincronización están limitadas a 500 contactos por día, por usuario y por dispositivo, pero modificando las solicitudes HTTP (la cantidad de contactos que el atacante desea sincronizar) y volviendo a firmarlos con una firma de mensaje actualizada, la falla haria posible automatizar el procedimiento de carga y sincronización de contactos a gran escala y crear una base de datos de cuentas vinculadas y sus números de teléfono conectados.
TikTok ha implementado una solución para abordar la deficiencia tras la divulgación responsable de los investigadores de Check Point.