TikTok ha resuelto una vulnerabilidad en la plataforma que permitía eludir el sistema de autenticación en dos pasos sin herramientas ni métodos concretos para acceder a las cuentas de forma no autorizada en móviles Android.
Al igual que el resto de redes sociales populares, el servicio propiedad de ByteDance dispone de un sistema de autenticación por correo electrónico y número de teléfono con el que promete ofrecer la protección necesaria para evitar ataques y suplantaciones de identidad.
MIRA: TikTok refuerza la restricción de contenido con nuevas políticas de protección para usuarios menores de edad
Sin embargo, un usuario de la plataforma HackerOne identificado como Lu3ky-13 ha descubierto que la versión de TikTok para Android registraba un fallo de seguridad que permitía a los usuarios evitar este sistema de seguridad.
TikTok ha explicado en este foro que “se descubrió que esta vulnerabilidad requería acceso al correo electrónico/contraseña o número de teléfono/código del usuario asociado con la cuenta” y que “se necesitarían múltiples intentos para eludir la fuerza bruta”.
MIRA TAMBIÉN: Las redes sociales con suscripciones de pago: ¿qué es lo nuevo que ofrecen?
Concretamente, este fallo permitía el acceso a una determinada cuenta de la plataforma tras forzar en repetidas ocasiones el inicio de sesión. Tras cumplimentar el formulario de la página principal de TikTok, se mostraba una ventana en la que se solicitaba un código de inicio de usuario enviado al número de teléfono asociado a dicha cuenta.
En caso de pulsar la flecha para volver a la página anterior, volvía a aparecer dicha interfaz con los campos de usuario y contraseña escritos (en caso de haber elegido la opción de ‘Recordar’ las credenciales) y permitía repetir este proceso varias veces: hacer clic sobre ‘Log in’ o ‘Entrar’, volver atrás cuando aparezca el cuadro de la autenticación en dos pasos, y así sucesivamente.
MIRA: ByteDance, propietaria de TikTok, reconoce que empleados accedieron a información de periodistas en la app
Tras varios intentos de acceso fallidos, este error en el sistema terminaba por omitir la página de autenticación de dos factores y permitía el inicio de sesión sin pasar por este otro paso de seguridad.
Fue en octubre de 2022 cuando se informó a la plataforma de dicha vulnerabilidad, que se solucionó mediante un parche de seguridad en diciembre de 2022 y ya no está activa, tal y como recoge 9to5Google.
TE PUEDE INTERESAR
- Todo lo que debemos saber sobre el mundo de las apps
- WhatsApp: más de 20 nuevos emojis serían incluidos en la próxima actualización
- Inventan un filtro que elimina el 99.9% de microplásticos del agua en solo 10 segundos
- TikTok se adentra en la TV con Vevo para lanzar un programa televisivo de canciones más populares de la red social
Contenido sugerido
Contenido GEC