Una vulnerabilidad de alta gravedad en la aplicación TikTok de Android podría haber permitido el secuestro de cuentas “con un solo clic”, reveló Microsoft.
en un papel (se abre en una pestaña nueva) publicado en el blog de seguridad de Microsoft, la compañía informó que se podría haber abusado de una cadena de problemas para crear un escenario en el que una cuenta podría verse comprometida con una sola pulsación de un enlace especialmente diseñado.
“Los atacantes podrían haber accedido y modificado los perfiles de TikTok de los usuarios y la información confidencial, por ejemplo, publicando videos privados, enviando mensajes y cargando videos en nombre de los usuarios”, explicó Microsoft.
Error de seguridad de TikTok
Se dice que la vulnerabilidad en cuestión estuvo presente en todas las versiones del cliente de Android TikTok, que en conjunto se han instalado más de 1.5 mil millones veces.
El problema giraba en torno a la implementación de la aplicación de JavaScript interfaces, que se utilizan ampliamente en TikTok para Android. El informe se sumerge en los detalles técnicos pero, en esencia, al explotar el manejo de las interfaces de JavaScript de la aplicación, en combinación con la forma en que Android enruta las URL, Microsoft pudo demostrar un compromiso de cuenta.
Afortunadamente, los investigadores no descubrieron ninguna evidencia de que la vulnerabilidad fue explotada en la naturaleza, y el problema fue parcheado poco después de que se revelara el problema en febrero. Según Microsoft, se debe elogiar al equipo de seguridad de TikTok por la rapidez y eficiencia de su respuesta.
“Este caso muestra cómo la capacidad de coordinar la investigación y el intercambio de inteligencia de amenazas a través de la colaboración de expertos entre industrias es necesaria para mitigar los problemas de manera efectiva”, dijo Dimitrios Valsamaras, del Microsoft 365 Defender Research Team.
“A medida que las amenazas entre plataformas continúan creciendo en número y sofisticación, se necesitan divulgaciones de vulnerabilidades, respuestas coordinadas y otras formas de compartir inteligencia de amenazas para ayudar a proteger la experiencia informática de los usuarios, independientemente de la plataforma o el dispositivo en uso”.
Aunque el parche ya habrá llegado a la mayoría de los usuarios de TikTok, los usuarios preocupados pueden garantizar que están protegidos actualizando su aplicación a la última versión.