El equipo de investigación de Microsoft 365 Defender ha descubierto una vulnerabilidad crítica en la aplicación Tiktok para Android.
Agrandar
Grave vulnerabilidad en la aplicación de Android de Tiktok.
© TikTok
Microsoft informa en su blog de seguridad esta semana sobre una vulnerabilidad «altamente peligrosa» en la aplicación Tiktok para Android. La vulnerabilidad fue descubierta por el equipo de investigación de Microsoft 365 Defender y desde entonces ha sido cerrada por los desarrolladores de la aplicación. Según Microsoft, no ha encontrado ninguna evidencia de que se haya explotado la vulnerabilidad.
Secuestrar cuenta de Tiktok con solo un clic
Los atacantes podrían haber aprovechado la vulnerabilidad para secuestrar una cuenta de Tiktok sin que el propietario se dé cuenta. El titular de la cuenta simplemente tenía que hacer clic en un enlace especialmente diseñado. Si caía en esta trampa, los atacantes habrían obtenido acceso a su perfil de Tiktok y, por lo tanto, a sus datos personales de usuario. Con acceso completo a la cuenta de Tiktok robada, los atacantes podrían haber publicado videos o enviado mensajes en nombre del propietario de la cuenta.
La vulnerabilidad pasa por alto la verificación de enlaces profundos
Según Microsoft, la vulnerabilidad permitió a los piratas eludir la verificación de enlace profundo de la aplicación Tiktok para Android. De esta forma, la aplicación podría verse obligada a cargar cualquier URL en la vista web de la aplicación. De esta manera, la URL podría acceder a los puentes de JavaScript conectados de WebView y hacer que los atacantes puedan acceder a varias funciones.
Tiktok respondió de inmediato.
Según Microsoft, Tiktok tiene dos versiones de su aplicación: una para el este y sudeste de Asia y otra para todos los demás países. Los expertos en seguridad encontraron la vulnerabilidad en ambas versiones de la aplicación. 1.500 millones de usuarios estaban potencialmente en riesgo. Tiktok fue informado sobre la brecha en febrero de 2022 e inmediatamente publicó una solución.
“Elogiamos la solución eficiente y profesional proporcionada por el equipo de seguridad de TikTok. Se recomienda a los usuarios de TikTok que se aseguren de estar usando la última versión de la aplicación».
como Microsoft.