Microsoft ha revelado una vulnerabilidad en las aplicaciones móviles de TikTok para Android que los piratas informáticos podrían haber aprovechado para obtener el control de la cuenta de alguien con un solo clic.
«Los atacantes podrían haber aprovechado la vulnerabilidad para secuestrar una cuenta sin que los usuarios se dieran cuenta si un usuario objetivo simplemente hiciera clic en un enlace especialmente diseñado», dice Microsoft.(Se abre en una nueva ventana). «Los atacantes podrían haber accedido y modificado los perfiles de TikTok de los usuarios y la información confidencial, por ejemplo, publicando videos privados, enviando mensajes y cargando videos en nombre de los usuarios».
Se dice que la falla estuvo presente en ambas versiones de la aplicación de TikTok para Android, una para el este y sudeste de Asia y otra para el resto del mundo, antes de que se revelara en febrero. Microsoft dice que estas aplicaciones tienen más de 1.500 millones de descargas combinadas.
«La aplicación TikTok anterior a la 23.7.3 para Android permite la adquisición de cuentas», dice TikTok en la entrada de la base de datos de Mitre para CVE-2022-28799(Se abre en una nueva ventana). «Una URL manipulada (enlace profundo no validado) puede obligar a com.zhiliaoapp.musically WebView a cargar un sitio web arbitrario. Esto puede permitir que un atacante aproveche una interfaz de JavaScript adjunta para tomar el control con un solo clic».
Microsoft dice que la vulnerabilidad «ha sido reparada y no encontramos ninguna evidencia de explotación en estado salvaje». La compañía aconseja a los usuarios de Android TikTok que se aseguren de estar usando la versión más reciente de la aplicación. (Especialmente porque es más probable que los piratas informáticos intenten explotar la falla de seguridad ahora que se ha publicado con varias pruebas de concepto de Microsoft).
Recomendado por Nuestros Editores
TikTok lanzó la versión 23.7.3 para Android el 22 de marzo, según Softpedia(Se abre en una nueva ventana), por lo que los usuarios con las actualizaciones automáticas habilitadas ya deberían tener instalada una versión más reciente de la aplicación. La información adicional sobre la vulnerabilidad y cómo se puede explotar en las versiones afectadas del software está disponible en la publicación del blog de Microsoft y en HackerOne.(Se abre en una nueva ventana) y GitHub(Se abre en una nueva ventana).
¿Te gusta lo que estás leyendo?
Matricularse en Vigilancia de la seguridad boletín de noticias para nuestras principales historias de privacidad y seguridad directamente en su bandeja de entrada.
Este boletín puede contener publicidad, ofertas o enlaces de afiliados. Suscribirse a un boletín informativo indica su consentimiento a nuestros Términos de uso y Política de privacidad. Puede darse de baja de los boletines en cualquier momento.