\n<\/p>\n
Microsoft dijo en<\/span> el 31 de agosto que recientemente identific\u00f3 una vulnerabilidad en la aplicaci\u00f3n de Android de TikTok que podr\u00eda permitir a los atacantes secuestrar cuentas cuando los usuarios no hac\u00edan m\u00e1s que hacer clic en un solo enlace err\u00f3neo. El fabricante de software dijo que notific\u00f3 a TikTok sobre la vulnerabilidad en febrero y que la compa\u00f1\u00eda de redes sociales con sede en China solucion\u00f3 la falla, que se rastrea como CVE-2022-28799.<\/p>\n La vulnerabilidad resid\u00eda en c\u00f3mo la aplicaci\u00f3n verificaba lo que se conoce como enlaces profundos, que son hiperv\u00ednculos espec\u00edficos de Android para acceder a componentes individuales dentro de una aplicaci\u00f3n m\u00f3vil. Los enlaces profundos deben declararse en el manifiesto de una aplicaci\u00f3n para su uso fuera de la aplicaci\u00f3n, por lo que, por ejemplo, alguien que hace clic en un enlace de TikTok en un navegador, el contenido se abre autom\u00e1ticamente en la aplicaci\u00f3n TikTok.<\/p>\n Una aplicaci\u00f3n tambi\u00e9n puede declarar criptogr\u00e1ficamente la validez de un dominio URL. TikTok en Android, por ejemplo, declara el dominio m.tiktok.com. Normalmente, la aplicaci\u00f3n TikTok permitir\u00e1 que el contenido de tiktok.com se cargue en su componente WebView, pero prohibir\u00e1 que WebView cargue contenido de otros dominios.<\/p>\n \u201cLa vulnerabilidad permiti\u00f3 eludir la verificaci\u00f3n de enlace profundo de la aplicaci\u00f3n\u201d, escribieron los investigadores. \u00abLos atacantes podr\u00edan obligar a la aplicaci\u00f3n a cargar una URL arbitraria en la WebView de la aplicaci\u00f3n, lo que permitir\u00eda que la URL acceda a los puentes de JavaScript adjuntos de la WebView y otorgue funcionalidad a los atacantes\u00bb.<\/p>\n Los investigadores crearon un exploit de prueba de concepto que hizo exactamente eso. Implicaba enviar a un usuario de TikTok objetivo un enlace malicioso que, al hacer clic, obten\u00eda los tokens de autenticaci\u00f3n que los servidores de TikTok requieren para que los usuarios demuestren la propiedad de su cuenta. El enlace tambi\u00e9n cambi\u00f3 la biograf\u00eda del perfil del usuario objetivo para mostrar el texto \u00ab\u00a1\u00a1\u00a1VIOLACI\u00d3N DE SEGURIDAD!!\u00bb<\/p>\n \u201cUna vez que el usuario de TikTok objetivo hace clic en el enlace malicioso especialmente dise\u00f1ado del atacante, el servidor del atacante, https:\/\/www.attacker[.]com\/poc, tiene acceso completo al puente de JavaScript y puede invocar cualquier funcionalidad expuesta\u201d, escribieron los investigadores. \u201cEl servidor del atacante devuelve una p\u00e1gina HTML que contiene c\u00f3digo JavaScript para enviar tokens de carga de video al atacante y cambiar la biograf\u00eda del perfil del usuario\u201d.<\/p>\n Microsoft dijo que no tiene evidencia de que la vulnerabilidad haya sido explotada activamente en la naturaleza.<\/p>\n