 |
En febrero, Microsoft descubrió y notificó un fallo de alta gravedad en la aplicación de TikTok para Android que permitía a los atacantes hacerse con el control de las cuentas "de forma rápida y silenciosa" con un solo clic, engañando a los usuarios para que hicieran clic en un enlace malicioso especialmente diseñado. "Los atacantes podrían haber aprovechado la vulnerabilidad para apropiarse de una cuenta sin que los usuarios se dieran cuenta si un usuario objetivo simplemente hacía clic en un enlace especialmente diseñado", dijo Dimitrios Valsamaras, del equipo de investigación de Microsoft 365 Defender. |
"Los atacantes podrían entonces haber accedido y modificado los perfiles de TikTok de los usuarios y su información sensible, como por ejemplo, publicando vídeos privados, enviando mensajes y subiendo vídeos en nombre de los usuarios."
Al hacer clic en el enlace se exponen más de 70 métodos de JavaScript de los que podría abusar un atacante con la ayuda de un exploit diseñado para secuestrar la WebView de la aplicación TikTok (un componente del sistema Android utilizado por la aplicación vulnerable para mostrar contenido web).
Utilizando los métodos expuestos, los atacantes podrían acceder o modificar la información privada de los usuarios de TikTok o realizar peticiones HTTP autenticadas.
En resumen, los atacantes que hubieran logrado explotar esta vulnerabilidad con éxito podrían fácilmente
- Recuperar los tokens de autenticación de los usuarios (lanzando una petición a un servidor bajo su control y registrando la cookie y las cabeceras de la petición)
- Recuperar o modificar los datos de la cuenta de TikTok de los usuarios, incluidos los vídeos privados y la configuración del perfil (activando una solicitud a un punto final de TikTok y recuperando la respuesta a través de la devolución de llamada de JavaScript)
"Se encontró una vulnerabilidad de WebView Hijacking en la aplicación Android de TikTok a través de un deeplink no validado en un parámetro no saneado. Esto podría haber dado lugar al secuestro de cuentas a través de una interfaz JavaScript", explica además el informe de HackerOne.
Ya está parcheada, no ha sido explotada en ataques
La vulnerabilidad de seguridad, rastreada como CVE-2022-28799, ya está parcheada desde el lanzamiento de la versión 23.7.3 de TikTok, publicada menos de un mes después de la revelación inicial de Microsoft.
Microsoft afirma que aún no ha encontrado pruebas de que el CVE-2022-28799 haya sido explotado en la web.
Los usuarios de TikTok pueden defenderse de problemas similares no haciendo clic en enlaces de fuentes no fiables, manteniendo sus aplicaciones actualizadas, instalando únicamente aplicaciones de fuentes oficiales e informando de cualquier comportamiento extraño de la aplicación lo antes posible.
En el informe de Microsoft se puede encontrar información adicional sobre cómo esta vulnerabilidad podría haber sido utilizada en ataques para la toma de cuentas.
En noviembre de 2020, TikTok corrigió las vulnerabilidades que permitían a los atacantes secuestrar rápidamente las cuentas de los usuarios que se registraban a través de apps de terceros.
La compañía también ha solucionado otros fallos de seguridad que podrían haber permitido a los atacantes robar la información personal de los usuarios o secuestrar sus cuentas para manipular los vídeos.
Según su entrada en Google Play Store, la aplicación de TikTok para Android tiene más de mil millones de instalaciones. Según las estimaciones de Sensor Tower Store Intelligence, la aplicación móvil ya ha superado la marca de los 2.000 millones de instalaciones en todas las plataformas desde abril de 2020.