Hallan vulnerabilidad en TikTok que permite secuestro de cuentas
Domingo 04 de Septiembre de 2022 8:35 pm
+ -
Microsoft ha descubierto una vulnerabilidad en la versión
para Android de la aplicación TikTok, un fallo que pudo haber dado acceso a los
ciberdelincuentes al sistema y así comprometer y secuestrar las cuentas de los
usuarios.
La compañía de Redmond ha explicado en su blog que comunicó
este error de seguridad a TikTok en febrero y que la plataforma "respondió
rápidamente" lanzando una solución para abordar la vulnerabilidad
informada.
Asimismo, ha subrayado que no tiene registro de que nadie se
haya aprovechado de esta vulnerabilidad para cometer ataques contra los
usuarios de TikTok y que la haya explotado a su favor.
En primer lugar, la compañía tecnológica ha recordado que
TikTok dispone de dos versiones de la aplicación, una para el este y sudeste de
Asia y otra para el resto de países. Al realizar una evaluación de
vulnerabilidades, comprobó que el problema afectaba a ambas versiones.
Concretamente, este error, que fue registrado con la
denominación CVE-2022-28799, permitía a los atacantes omitir la verificación de
enlace profundo ('deeplink') de la aplicación de contenido.
Gracias a esto, los ciberdelincuentes podrían haber forzado
a la red social a cargar una URL en el componente WebView de la aplicación,
para poder así visualizar páginas web internas.
Microsoft ha subrayado que, como WebView está vinculado a
los puentes de JavaScript, esto habría otorgado a los actores maliciosos hasta
70 formas distintas de acceder a la información de sus posibles víctimas.
La falla les permitía, incluso, recuperar los tokens de
autentificación del usuario a través de una solicitud a un servidor controlado
y, posteriormente, registrando las 'cookies' de rastreo de información.
Para determinar la gravedad de la vulnerabilidad, los
investigadores de Microsoft probaron a enviar un enlace malicioso a un agente
externo. Una vez hecho clic en esta URL, el link otorgaba estos tokens de los
servidores que la plataforma TikTok pide a sus usuarios para verificar su
identidad y acceder a sus correspondientes perfiles.
El grupo ha señalado que cualquier atacante pudo apoyarse en
esta vulnerabilidad de la 'app' para secuestrar una cuenta sin el conocimiento
de su usuario únicamente invitándole a clicar en uno de estos enlaces
maliciosos.
Agencias
908 Vistas
Temas Relacionados
