Microsoft informó de una vulnerabilidad de alta gravedad en la aplicación TikTok para Android, una que podría haber permitido a los atacantes acceder a las cuentas con un solo clic.
La aplicación TikTok de Android tuvo un problema de seguridad grave y Microsoft fue quien lo informó. La compañía detalló recientemente los hallazgos para la comunidad de ciberseguridad, indicando que la vulnerabilidad de alta gravedad podría haber permitido a los atacantes comprometer cuentas con un solo clic. Microsoft también notificó a TikTok sobre el problema y desde entonces ha sido parcheado.
Esta vulnerabilidad específica afectó a TikTok en la versión 23.7.3 y anteriores de Android, requirió que se encadenen varios problemas para explotarla y no se usó en la naturaleza, según Microsoft. Esto significa que es probable que nadie se haya visto afectado por ello. En realidad, existen dos versiones de TikTok en Android, una para el este y sudeste asiático y otra para el resto del mundo. Microsoft realizó una evaluación de vulnerabilidad y descubrió que ambas se vieron afectadas, lo que significa que la vulnerabilidad afectó a un total de 1.500 millones de instalaciones.
Sin embargo, con la vulnerabilidad, los piratas informáticos podrían haber secuestrado una cuenta de TikTok basada en Android sin que el usuario supiera si hizo clic en un solo enlace. El atacante podría haber accedido al perfil de TikTok comprometido, permitiéndole ver vídeos privados, enviar mensajes o subir vídeos.
Entonces, ¿cuáles son los detalles sobre cómo un atacante podría haber utilizado esta vulnerabilidad? Bueno, según Microsoft, la aplicación TikTok para Android permitió omitir la verificación de enlaces profundos de la aplicación. Un atacante podría haber obligado a la aplicación a cargar una URL en WebView de la aplicación. Esto habría permitido que la página en esa URL accediera a los puentes JavaScript de WebView para darle a un hacker más funcionalidad y 70 formas de acceder rápidamente a la información de un usuario. El atacante también podría haber recuperado los tokens de autenticación del usuario activando una solicitud a un servidor controlado y registrando la cookie y los encabezados de la solicitud.
microsoft escribió sobre este mismo problema de puentes de JavaScript en el pasado, y una entrada CVE está disponible para obtener más detalles sobre esta vulnerabilidad de TikTok. La compañía informó el problema a través de Divulgación coordinada de vulnerabilidades (CVD) a través de Microsoft Security Vulnerability Research (MSVR) en febrero de 2022, y TikTok lo parchó un mes después de la divulgación. Microsoft sostiene que esta situación muestra lo importante que es coordinar la investigación y la inteligencia sobre amenazas en la industria tecnológica.
Fuente: microsoft