Una vulnerabilidad grave encontrada por Microsoft en la aplicación de Android TikTok podría haber permitido a los piratas informáticos secuestrar millones de cuentas. El miércoles, la compañía detalló un exploit de un clic del que informó a TikTok en febrero. La buena noticia es que la compañía de redes sociales corrigió rápidamente la vulnerabilidad antes de la divulgación de hoy y Microsoft dice que no tiene evidencia de que alguien la haya usado en la naturaleza.
“Les dimos información sobre la vulnerabilidad y colaboramos para ayudar a solucionar este problema”, dijo Tanmay Ganacharya de Microsoft. . “TikTok respondió rápidamente y elogiamos la resolución eficiente y profesional del equipo de seguridad”.
Según Microsoft, la vulnerabilidad involucró un descuido con la funcionalidad de enlace profundo de TikTok. En Android, los desarrolladores pueden programar sus aplicaciones para manejar ciertas URL de formas específicas. Por ejemplo, cuando toca una inserción de Twitter en Chrome y, como resultado, la aplicación de Twitter se abre automáticamente en su teléfono, ese es un ejemplo de la función de enlace profundo que funciona según lo previsto.
Sin embargo, Microsoft encontró una manera de eludir el proceso de verificación que TikTok tenía implementado para restringir que los enlaces profundos ejecuten ciertas acciones. Luego descubrieron que podían usar esa vulnerabilidad para acceder a todas las funciones principales de una cuenta, incluida la capacidad de publicar contenido y enviar mensajes a otros usuarios de TikTok. La falla estaba presente en ambas versiones globales de la aplicación de Android de TikTok. Los dos lanzamientos tienen más de 1.500 millones de descargas entre ellos, lo que significa que el impacto potencial de que alguien descubra la vulnerabilidad antes de que se corrija podría haber sido masivo.
Microsoft recomienda a todos los usuarios de TikTok en Android que descarguen la última versión de la aplicación tan pronto como puedan. En términos más generales, puede protegerse en el futuro de exploits similares al no hacer clic en enlaces incompletos. También es una buena práctica evitar descargar aplicaciones, ya que no sabe cómo alguien podría haber alterado el APK.
Todos los productos recomendados por Engadget son seleccionados por nuestro equipo editorial, independiente de nuestra empresa matriz. Algunas de nuestras historias incluyen enlaces de afiliados. Si compra algo a través de uno de estos enlaces, podemos ganar una comisión de afiliado.