TikTok ha resuelto una vulnerabilidad en la plataforma que permitía eludir el sistema de autenticación en dos pasos sin herramientas ni métodos concretos para acceder a las cuentas de forma no autorizada en móviles Android.
Al igual que el resto de redes sociales populares, el servicio propiedad de ByteDance dispone de un sistema de autenticación por correo electrónico y número de teléfono con el que promete ofrecer la protección necesaria para evitar ataques y suplantaciones de identidad.
Sin embargo, un usuario de la plataforma HackerOne identificado como Lu3ky-13 ha descubierto que la versión de TikTok para Android registraba un fallo de seguridad que permitía a los usuarios evitar este sistema de seguridad.
TikTok ha explicado en este foro que "se descubrió que esta vulnerabilidad requería acceso al correo electrónico/contraseña o número de teléfono/código del usuario asociado con la cuenta« y que »se necesitarían múltiples intentos para eludir la fuerza bruta".
Concretamente, este fallo permitía el acceso a una determinada cuenta de la plataforma tras forzar en repetidas ocasiones el inicio de sesión. Tras cumplimentar el formulario de la página principal de TikTok, se mostraba una ventana en la que se solicitaba un código de inicio de usuario enviado al número de teléfono asociado a dicha cuenta.
En caso de pulsar la flecha para volver a la página anterior, volvía a aparecer dicha interfaz con los campos de usuario y contraseña escritos (en caso de haber elegido la opción de 'Recordar' las credenciales) y permitía repetir este proceso varias veces: hacer clic sobre 'Log in' o 'Entrar', volver atrás cuando aparezca el cuadro de la autenticación en dos pasos, y así sucesivamente.
Tras varios intentos de acceso fallidos, este error en el sistema terminaba por omitir la página de autenticación de dos factores y permitía el inicio de sesión sin pasar por este otro paso de seguridad.
Fue en octubre de 2022 cuando se informó a la plataforma de dicha vulnerabilidad, que se solucionó mediante un parche de seguridad en diciembre de 2022 y ya no está activa, tal y como recoge 9to5Google.