Una vulnerabilidad de TikTok podría haber permitido a los hackers secuestrar cuentas de usuario en la aplicación de video de formato corto con un solo clic, dijeron el miércoles investigadores de Microsoft.
La vulnerabilidad, identificada como CVE-2022-28799, afectó a las versiones de la aplicación de Android de TikTok, que tienen más de 1500 millones de instalaciones combinadas. En un extenso artículo , el equipo de investigación de 365 Defender de Microsoft dijo que se comunicó con TikTok sobre la vulnerabilidad en febrero y que la compañía libero rápidamente una solución para esta.
“Elogiamos la resolución eficiente y profesional del equipo de seguridad de TikTok”, dijeron los investigadores. “Se alienta a los usuarios de TikTok a asegurarse de que están usando la última versión de la aplicación”.
La vulnerabilidad involucró la forma en que TikTok programó lo que se conoce como enlaces profundos, una función de Android que permite que las aplicaciones manejen ciertos enlaces de maneras específicas. La vinculación profunda se usa de manera benigna cuando, por ejemplo, la aplicación Reddit se abre automáticamente después de que el usuario hace clic en un botón de inserción de teléfono en Chrome.
Según Microsoft, la vulnerabilidad pudo omitir el proceso de verificación de enlaces profundos de TikTok. “Los atacantes podrían obligar a la aplicación a cargar una URL arbitraria en la vista web de la aplicación, lo que permitiría que la URL acceda a los puentes de JavaScript adjuntos de la vista web y otorgue funcionalidad a los atacantes”, escribieron los investigadores.
El resultado es que un atacante podría usar la vulnerabilidad para subir videos y enviar mensajes en nombre de los usuarios, así como acceder a información confidencial, como videos privados.
Aunque la vulnerabilidad no era particularmente sencilla (requeriría que los atacantes encadenaran varios exploits), la entrega fue simple. En una prueba de concepto compartido por la empresa, los investigadores crearon un enlace malicioso que al hacer clic cambió el perfil de una cuenta de TikTok para leer “!! ¡¡VIOLACION DE LA SEGURIDAD!!”
Microsoft dijo que no encontró ninguna evidencia de que la vulnerabilidad haya sido explotado en la naturaleza. Un portavoz de TikTok, enfatizó este punto y destacó el programa de recompensas por vulnerabilidades de la compañía, que se ejecuta a través de HackerOne desde octubre de 2020.
“A través de nuestra asociación con los investigadores de seguridad de Microsoft, descubrimos y solucionamos rápidamente una vulnerabilidad en algunas versiones anteriores de la aplicación de Android. Agradecemos a los investigadores de Microsoft por sus esfuerzos para ayudar a identificar problemas potenciales para que podamos resolverlos”, dijo el portavoz.
Es un conocido experto en seguridad móvil y análisis de malware. Estudió Ciencias de la Computación en la NYU y comenzó a trabajar como analista de seguridad cibernética en 2003. Trabaja activamente como experto en antimalware. También trabajó para empresas de seguridad como Kaspersky Lab. Su trabajo diario incluye investigar sobre nuevos incidentes de malware y ciberseguridad. También tiene un profundo nivel de conocimiento en seguridad móvil y vulnerabilidades móviles.