Microsoft dijo en el 31 de agosto que recientemente identificó una vulnerabilidad en la aplicación de Android de TikTok que podría permitir a los atacantes secuestrar cuentas cuando los usuarios no hacían más que hacer clic en un solo enlace erróneo. El fabricante de software dijo que notificó a TikTok sobre la vulnerabilidad en febrero y que la compañía de redes sociales con sede en China solucionó la falla, que se rastrea como CVE-2022-28799.
La vulnerabilidad residía en cómo la aplicación verificaba lo que se conoce como enlaces profundos, que son hipervínculos específicos de Android para acceder a componentes individuales dentro de una aplicación móvil. Los enlaces profundos deben declararse en el manifiesto de una aplicación para su uso fuera de la aplicación, por lo que, por ejemplo, alguien que hace clic en un enlace de TikTok en un navegador, el contenido se abre automáticamente en la aplicación TikTok.
Una aplicación también puede declarar criptográficamente la validez de un dominio URL. TikTok en Android, por ejemplo, declara el dominio m.tiktok.com. Normalmente, la aplicación TikTok permitirá que el contenido de tiktok.com se cargue en su componente WebView, pero prohibirá que WebView cargue contenido de otros dominios.
“La vulnerabilidad permitió eludir la verificación de enlace profundo de la aplicación”, escribieron los investigadores. «Los atacantes podrían obligar a la aplicación a cargar una URL arbitraria en la WebView de la aplicación, lo que permitiría que la URL acceda a los puentes de JavaScript adjuntos de la WebView y otorgue funcionalidad a los atacantes».
Los investigadores crearon un exploit de prueba de concepto que hizo exactamente eso. Implicaba enviar a un usuario de TikTok objetivo un enlace malicioso que, al hacer clic, obtenía los tokens de autenticación que los servidores de TikTok requieren para que los usuarios demuestren la propiedad de su cuenta. El enlace también cambió la biografía del perfil del usuario objetivo para mostrar el texto «¡¡¡VIOLACIÓN DE SEGURIDAD!!»
“Una vez que el usuario de TikTok objetivo hace clic en el enlace malicioso especialmente diseñado del atacante, el servidor del atacante, https://www.attacker[.]com/poc, tiene acceso completo al puente de JavaScript y puede invocar cualquier funcionalidad expuesta”, escribieron los investigadores. “El servidor del atacante devuelve una página HTML que contiene código JavaScript para enviar tokens de carga de video al atacante y cambiar la biografía del perfil del usuario”.
Microsoft dijo que no tiene evidencia de que la vulnerabilidad haya sido explotada activamente en la naturaleza.
Esta historia apareció originalmente en Ars Technica.