La plataforma de intercambio de videos TikTok ha reconocido un problema de seguridad utilizado por actores de amenazas para tomar el control de cuentas importantes en la plataforma.
El problema fue informado por Semafor y Forbes, quienes detallaron una campaña de apropiación de cuentas de cero clics que permite que el malware comprometa cuentas de marcas y celebridades a través de mensajes directos, sin necesidad de hacer clic o interactuar con él.
Actualmente no está claro cuántos usuarios han resultado afectados, aunque un portavoz de TikTok dijo que la empresa ha tomado medidas preventivas para detener el ataque y prevenir que vuelva a ocurrir en el futuro.
La compañía también afirmó que está trabajando directamente con los titulares de cuentas afectadas para restablecer el acceso y que el ataque solo logró comprometer un «número muy pequeño» de usuarios. No proporcionó detalles sobre la naturaleza del ataque o las técnicas de mitigación que había empleado.
En enero de 2021, Check Point detalló una falla en TikTok que potencialmente habría permitido a un atacante crear una base de datos de los usuarios de la aplicación y sus números de teléfono asociados.
En septiembre de 2022, Microsoft descubrió un exploit de un solo clic que afectaba a la aplicación de TikTok para Android y podría permitir a los atacantes tomar el control de las cuentas cuando las víctimas hicieran clic en un enlace especialmente diseñado.
Hasta 700,000 cuentas de TikTok en Turquía se encontraron comprometidas el año pasado, después de que surgieran informes de que el enrutamiento gris de mensajes de texto a través de canales inseguros permitió a los adversarios interceptar contraseñas de un solo uso y obtener acceso a las cuentas de los usuarios de TikTok e inflar «me gusta» y seguidores.
Los actores malintencionados también se aprovecharon del Desafío Invisible de TikTok para distribuir malware que roba información, lo que destaca los esfuerzos continuos por parte de los atacantes para propagar malware a través de medios no convencionales.
Las raíces chinas de TikTok han generado preocupaciones de que la aplicación podría usarse como un conducto para recopilar información sensible sobre los usuarios estadounidenses y propagar propaganda, lo que eventualmente llevó a la aprobación de una ley que prohibiría la aplicación de videos en el país a menos que se desvincule de ByteDance.
El mes pasado, el gigante de las redes sociales presentó una demanda en los EE.UU. impugnando la ley, afirmando que es una «invasión extraordinaria de los derechos de libertad de expresión» y que los EE.UU. solo habían presentado «preocupaciones especulativas» para justificar la prohibición.
Otros países como India, Nepal, Senegal, Somalia y Kirguistán han impuesto prohibiciones similares a TikTok, mientras que varios otros países, incluyendo EE.UU., Reino Unido, Canadá, Australia y Nueva Zelanda, prohíben el uso de la aplicación en dispositivos gubernamentales.
Vía The Hacker News
