Una de las aplicaciones de redes sociales más populares se enfrenta a un mayor escrutinio por las filtraciones de datos, ya que se descubrió una posible violación de la seguridad de TikTok que podría afectar a más de mil millones de usuarios.
El lunes, varios especialistas en seguridad cibernética tuitearon sobre el supuesto descubrimiento de una vulnerabilidad de servidor desprotegido que permitía el acceso al almacenamiento de TikTok, que creen que contenía datos personales de los usuarios. Hace solo unos días, Microsoft Corp. anunció el descubrimiento de una “vulnerabilidad de alta gravedad”, que puede causar una violación de TikTok en la aplicación de Android, “que habría permitido a los atacantes comprometer las cuentas de los usuarios con un solo clic”.
TikTok, de ByteDance Ltd., superó los mil millones de usuarios mensuales hace un año y ahora es la aplicación favorita de muchos jóvenes. Como resultado, es un objetivo atractivo para los piratas informáticos que buscan robar cuentas populares o revender información crítica. La administración Trump lo clasificó como un peligro para la privacidad en 2020 y casi lo prohibió debido a preocupaciones sobre posibles vínculos entre su empresa matriz con sede en Beijing y el gobierno chino.
La firma minimizó la violación de la seguridad de TikTok
TikTok declaró que los informes de una infracción detectada durante el fin de semana eran falsos. Según un representante, “Nuestro equipo de seguridad investigó esta declaración y determinó que el código en cuestión no tiene ninguna relación con el código fuente del backend de TikTok”.
Troy Hunt, un analista de seguridad en línea australiano, examinó algunas de las muestras de datos robados y descubrió similitudes entre los perfiles de usuario y las películas enviadas con esas identificaciones. Sin embargo, parte de la información de la filtración eran “datos de acceso público que podrían haberse construido sin vulneración”. Él al corriente en Twitter que:
“Hasta ahora, esto no es bastante concluyente; algunos datos coinciden con la información de producción, aunque la información es de acceso público. Algunos datos son basura, pero podrían ser datos de prueba o que no sean de producción. Es un poco confuso hasta ahora”.
Microsoft descubrió una vulnerabilidad más limitada que podría haber afectado a los teléfonos móviles con Android. Es posible que les haya dado a los atacantes acceso y modificación de “perfiles de TikTok e información confidencial, como publicar videos privados, enviar mensajes y cargar videos en nombre de los usuarios”, afirmó Dimitrios Valsamaras del Microsoft 365 Defender Research Team. Según una portavoz de TikTok, la empresa respondió de inmediato a los hallazgos de Microsoft y corrigió la debilidad de seguridad descubierta “en algunas versiones anteriores de la aplicación de Android”.
Las fugas de datos causadas por TikTok son una seria preocupación para los EE. UU.
Independientemente de cuán poco concluyentes o menores sean las fallas, TikTok y su empresa matriz serán examinados de cerca en un momento en que EE. UU. puede endurecer sus sanciones contra las corporaciones con vínculos con China. En junio, nueve senadores estadounidenses exigieron que el director ejecutivo de TikTok explicara los supuestos fallos de seguridad en una carta pública.
El presidente Joe Biden está listo para firmar una orden ejecutiva que restringe la inversión estadounidense en negocios tecnológicos chinos, y es posible una medida separada dirigida a TikTok, con la administración vigilando de cerca si el gobierno chino tiene acceso a los datos de los usuarios estadounidenses. La corporación ha informado al Congreso de los EE. UU. que ha tomado precauciones para salvaguardar dichos datos a través de un acuerdo con Oracle Corp.
“Hay mucha atención en la forma en que opera TikTok y hay una gran brecha entre cómo opera y cómo dice que opera”, dijo Robert Potter, codirector ejecutivo de la empresa de ciberseguridad australiano-estadounidense Internet 2.0 Inc. En un estudio publicado en julio, el equipo de Potter declaró que descubrió una “recolección excesiva de datos” por parte de TikTok en los dispositivos de los usuarios, que la aplicación verifica la posición del dispositivo al menos una vez por hora y que contiene un código que recopila los números de serie tanto del dispositivo como de la tarjeta SIM. TikTok desestimó los hallazgos, alegando que “informan erróneamente la cantidad de datos que recopilamos”.
3/ Internet2.0 tergiversa la cantidad de datos que recopilamos. Por ejemplo, no recopilamos el IMEI del dispositivo del usuario, el número de serie de la SIM, la información de suscripción activa o el número de identificación de la tarjeta de circuito integrado, y no recopilamos la ubicación precisa del GPS.
— TikTokComms (@TikTokComms) 18 de julio de 2022
La noticia atrajo una atención generalizada en Australia, y Clare O’Neil, la nueva ministra del Interior, reveló el lunes que ordenó a su agencia que investigue qué datos recopila TikTok y quién tiene acceso a ellos. O’Neil dijo en comentarios enviados por correo electrónico que:
“Tenemos este problema básico aquí donde tenemos empresas de tecnología que tienen su sede en países con un enfoque más autoritario del sector privado. TikTok no es el principio y el final de esto. Es uno de la gran cantidad de problemas que generan estas empresas tecnológicas muy dominantes y el papel que desempeñan en nuestras vidas”.
TikTok podría estar “registrando teclas”, lo que puede causar fugas de datos
Otro estudio del mes pasado se centró en los navegadores dentro de la aplicación por parte del investigador de seguridad Felix Krause, quien creó una herramienta para verificar qué hacen los programas en WebView. El estudio, que se centró en las vulnerabilidades de las aplicaciones móviles que usan navegadores integrados en la aplicación, examinó alrededor de 25 de las aplicaciones iOS más populares y descubrió que TikTok empleaba un enfoque de registro de teclas en su navegador integrado. Según Krause, “TikTok iOS se suscribe a cada pulsación de tecla (ingresos de texto) que ocurre en sitios web de terceros representados dentro de la aplicación TikTok. Esto puede incluir contraseñas, información de tarjetas de crédito y otros datos confidenciales del usuario”.
También observó que la versión iOS de TikTok empleaba código JavaScript para analizar en qué hacía clic el usuario. Si bien Krause admitió que no tenía idea de qué hace TikTok con la suscripción, afirmó que la respuesta de TikTok en un artículo de Forbes demostró que tiene capacidad de registro de teclas. TikTok respondió a TechTarget en un comunicado que indica que los hallazgos del informe son incorrectos y engañosos: “El investigador dice específicamente que el código JavaScript no significa que nuestra aplicación esté haciendo algo malicioso y admite que no tienen forma de saber qué tipo de datos nuestro navegador en la aplicación. colecciona Al contrario de lo que afirma el informe, no recopilamos entradas de texto o pulsaciones de teclas a través de este código, que se usa únicamente para depurar, solucionar problemas y monitorear el rendimiento”.
Sin embargo, los expertos en seguridad de la información consideran que el uso de registro de teclas de TikTok para la depuración es limitado. Por ejemplo, la resolución de problemas suele estar a cargo del sistema operativo y no del software, según Chester Wisniewski, científico investigador principal de Sophos. Apple, por ejemplo, sería responsable de los problemas de iPhone y Google de los problemas de Android porque usan Safari y Chrome, respectivamente.
Según Nick DeLena, socio de la consultora DGC que se especializa en ciberseguridad y privacidad, el registro de teclas a menudo se considera una violación de la privacidad, y cuando se descubre que una aplicación o servicio lo está empleando, generalmente se ven obligados a utilizar otro medio de depuración. . Según DeLena, el riesgo con el software de TikTok es especialmente grande porque el gobierno chino tiene una participación en la empresa matriz de TikTok, ByteDance.
Ya sea que TikTok esté utilizando únicamente la capacidad de depuración, aún puede representar un riesgo de seguridad para las organizaciones. Según Tim Mackey, estratega jefe de seguridad de Synopsys, si el programa se usa en el trabajo, es posible que se incluya información corporativa confidencial en el paquete de datos de registro de teclas. Si bien muchas empresas impiden que ciertas aplicaciones o servicios se descarguen en los dispositivos de trabajo, administrar la creciente fuerza de trabajo remota puede ser problemático. La transición ha profundizado la división entre el trabajo y la vida personal.
Wisniewski enfatizó que las personas usan cada vez más teléfonos o tabletas personales para tareas relacionadas con el trabajo y es posible que desconozcan los riesgos potenciales, y dijo: “Solo toma un minuto confundirse acerca de si actualmente está en el navegador web de la empresa o si puede estar en el navegador TikTok de la aplicación por accidente y comenzar a hacer cosas de la empresa, y eso es un gran riesgo de fuga de datos”.
Esperamos que haya disfrutado este artículo sobre una posible violación de TikTok que plantea preguntas sobre fugas de datos y seguridad. Si lo hizo, estamos seguros de que también disfrutará leyendo algunos de nuestros otros artículos, como que se ha publicado la corrección de fallas de seguridad de Apple iPhone para el error de día cero, o la vulnerabilidad Zoom Mac permite a los piratas informáticos obtener acceso remoto.
Source: Posible filtración de TikTok plantea dudas sobre fugas de datos y seguridad
