• de Lun a Vie de 9 a 17 hs
  • |
  • ciberseguridad@ba-csirt.gob.ar
12 agosto
TikTok se saltó la seguridad de Android para identificar a sus usuarios

El número MAC se utilizaba para poder identificar mejor a los usuarios y así ofrecer publicidad de forma mucho más efectiva.

En medio de una tormenta política y con un ultimátum del gobierno de los EE.UU. para cortar sus lazos con China, lo último que necesitaba la plataforma TikTok es un escándalo relacionado con la privacidad de los usuarios.

Y precisamente, es lo que ha conseguido.
Una investigación del Wall Street Journal se basa que la versión de Android de la app de TikTok utilizó durante 15 meses una vulnerabilidad en el sistema operativo de Google para obtener la dirección MAC de los teléfonos de los usuarios de la plataforma.

El número MAC es un identificador único asociado a los interfaces de red, como chips WiFi, módems de acceso a redes de telefonía o Bluetooth. Se trata de un conjunto de 12 números hexadecimales ordenados por parejas que permite identificar a un dispositivo concreto en la red.
La mayoría de los sistemas operativos, incluido Android, hace años que prohíben a las apps acceder a este número para evitar que los usuarios puedan ser identificados de manera individualizada.

Pero, sin embargo, TikTok habría aprovechado un fallo en el código de Android, activo hasta el pasado mes de noviembre, para burlar esta restricción.
El número MAC se utilizaba para poder identificar mejor a los usuarios y así ofrecer publicidad de forma mucho más efectiva. TikTok cifraba la información una vez extraída antes de mandarla a sus servidores, una táctica que podría estar diseñada para impedir que Google se percatara del robo del número.

Una vez en los servidores de ByteDance, la empresa china propietaria de TikTok, el número quedaba asociado al perfil del usuario junto con otros datos.
Aunque la app da la opción de borrar todo rastro de información personal en una cuenta, el hecho de usar el número MAC como parte del conjunto de datos identificativos habría convertido en trivial el proceso de reconstruir la información sobre gustos y preferencias de un determinado usuario. Cambiar el número MAC de un dispositivo es posible, pero es un proceso complejo, sobre todo en entornos móviles.

Hace algunos días, el presidente de los EE.UU., Donald Trump, emitió una orden ejecutiva que prohibiría a las empresas y ciudadanos estadounidenses tener relaciones comerciales con Bytedance.
En dicha orden, el presidente hace mención explícita al peligro que supone la captación sistemática de datos por parte de TikTok debido a los estrechos lazos de las empresas chinas con el gobierno del país.

El primer mandatario ha dado un plazo de 45 días para que entre en vigor la prohibición, que podría evitarse si una empresa norteamericana adquiriese el negocio. Microsoft y Twitter se han mostrado interesadas en esta posibilidad y están negociando con Bytedance la compra de TikTok.

Referencia:

www.elmundo.es/tecnologia/2020/08/12/5f338b23fc6c832c7a8b4585.html

Tu opinión nos ayuda a seguir creciendo.

Seleccioná la cantidad de estrellas que consideres apropiada.

BA-CSIRT, ¿cómo reportar un indicente de ciberseguridad?