TikTok ha solucionado un agujero de seguridad en su plataforma que permitía eludir el sistema de autenticación en dos pasos. Esto abría las puertas a actores maliciosos a la hora de acceder a cuentas sin autorización en dispositivos Android.
Descubierta por Lu3ky-13 en HackerOne, la aplicación en Android de TikTok tenía una vulnerabilidad que dejaba expuestas a las cuentas en dispositivos con este sistema operativo al eludir el sistema de doble autenticación.
Una vulnerabilidad de fuerza bruta para lo que no se requerían herramientas ni utilizar métodos especiales a la hora de evadir esta capa de seguridad adicional. Para ello simplemente se trataba de iniciar sesión repetidamente hasta que, finalmente, se omitía la página de autenticación de doble factor.
De esta forma, el acceso a las cuentas quedaba desprotegido, según ha manifestado la propia compañía en un comunicado. «Se ha encontrado una vulnerabilidad en la que un problema de tiempo de espera aleatorio en un punto final de la verificación en dos pasos podría haber resultado en una posible omisión de la autenticación si se hicieron varios intentos incorrectos en rápida sucesión», apunta.
Asimismo, también señala que esta vulnerabilidad requería acceso al correo electrónico/contraseña o número de teléfono/código del usuario asociado con la cuenta y que se necesitarían múltiples intentos para eludir este doble factor de autenticación.
Cómo se eludía el doble factor de autenticación de TikTok
En concreto, para eludir esta seguridad, los usuarios debían cumplimentar el formulario de la página de inicio de TikTok, donde aparecía una ventana que pedía un código que se había enviado al teléfono móvil del usuario asociado con esa cuenta.
Si el usuario pulsaba en la flecha para volver a la página anterior, volvían a aparecer los campos de usuario y contraseña escritos, si se había seleccionado la opción de recordar las credenciales. De esta forma, se podía repetir este proceso varias veces haciendo clic sobre las opciones de ‘log in’ o ‘entrar, y volviendo al inicio cuando aparecía la ventana que solicitaba el doble factor de autenticación.
Después de varios intentos, el sistema omitía la página de doble factor de autenticación y permitía iniciar sesión sin introducir este segundo código enviado al dispositivo móvil.
La primera vez que se informó a TikTok de la existencia de esta vulnerabilidad fue en octubre de 2022, y se parcheó a mediados de diciembre de 2022, por lo que ya no está activa.
Si bien esta brecha ya se ha solucionado, cabe recordar la importancia de que los usuarios dispongan de contraseñas robustas y apuesten por el múltiple factor de autenticación. Se trata de un aspecto crucial teniendo en cuenta la proliferación de infracciones de seguridad, como el reciente ciberataque que ha sufrido LastPass.