Descubren fallo en TikTok que permitía el secuestro de cuentas con un solo clic
Microsoft descubrió una vulnerabilidad en la versión para Android de la red social TikTok, este le pudo haber dado acceso al sistema a los ciberdelincuentes y poner en riesgo las cuentas de los usuarios. Le contamos de qué se trata.
La compañía de Redmond explicó que detectaron un error de seguridad en TikTok y que este se le comunicó a la red social en febrero y que la plataforma “respondió rápidamente” lanzando una solución para abordar la vulnerabilidad informada.
Asimismo, resaltaron que no tiene registro de que nadie se haya aprovechado de esta vulnerabilidad para cometer ataques contra los usuarios de TikTok y que la haya explotado a su favor.
En primer lugar, la compañía tecnológica recordó que TikTok dispone de dos versiones de la aplicación, una para el este y sudeste de Asia y otra para el resto de países. Al realizar una evaluación de vulnerabilidades, comprobó que el problema afectaba a ambas versiones.
Le puede interesar: Samsung confirma que hubo una fuga de datos que afecta a parte de sus clientes.
Concretamente, este error, que fue registrado con la denominación CVE-2022-28799, permitía a los atacantes omitir la verificación de enlace profundo (‘deeplink’) de la aplicación de contenido.
Gracias a esto, los ciberdelincuentes podrían haber forzado a la red social a cargar una URL en el componente WebView de la aplicación, para poder así visualizar páginas web internas.
Microsoft agregó que, como WebView está vinculado a los puentes de JavaScript, esto habría otorgado a los actores maliciosos hasta 70 formas distintas de acceder a la información de sus posibles víctimas.
Lea: El reto viral de TikTok que aumentó el robo de autos en Estados Unidos.
La falla les permitía, incluso, recuperar los tokens de autentificación del usuario a través de una solicitud a un servidor controlado y, posteriormente, registrando las ‘cookies’ de rastreo de información.
Para determinar la gravedad de la vulnerabilidad, los investigadores de Microsoft probaron a enviar un enlace malicioso a un agente externo. Una vez hecho clic en esta URL, el link otorgaba estos tokens de los servidores que la plataforma TikTok pide a sus usuarios para verificar su identidad y acceder a sus correspondientes perfiles.
El grupo señaló que cualquier atacante pudo apoyarse en esta vulnerabilidad de la aplicación para secuestrar una cuenta sin el conocimiento de su usuario únicamente invitándole a clicar en uno de estos enlaces maliciosos.
👽👽👽 ¿Ya está enterado de las últimas noticias de tecnología? Lo invitamos a visitar nuestra sección en El Espectador.
La compañía de Redmond explicó que detectaron un error de seguridad en TikTok y que este se le comunicó a la red social en febrero y que la plataforma “respondió rápidamente” lanzando una solución para abordar la vulnerabilidad informada.
Asimismo, resaltaron que no tiene registro de que nadie se haya aprovechado de esta vulnerabilidad para cometer ataques contra los usuarios de TikTok y que la haya explotado a su favor.
En primer lugar, la compañía tecnológica recordó que TikTok dispone de dos versiones de la aplicación, una para el este y sudeste de Asia y otra para el resto de países. Al realizar una evaluación de vulnerabilidades, comprobó que el problema afectaba a ambas versiones.
Le puede interesar: Samsung confirma que hubo una fuga de datos que afecta a parte de sus clientes.
Concretamente, este error, que fue registrado con la denominación CVE-2022-28799, permitía a los atacantes omitir la verificación de enlace profundo (‘deeplink’) de la aplicación de contenido.
Gracias a esto, los ciberdelincuentes podrían haber forzado a la red social a cargar una URL en el componente WebView de la aplicación, para poder así visualizar páginas web internas.
Microsoft agregó que, como WebView está vinculado a los puentes de JavaScript, esto habría otorgado a los actores maliciosos hasta 70 formas distintas de acceder a la información de sus posibles víctimas.
Lea: El reto viral de TikTok que aumentó el robo de autos en Estados Unidos.
La falla les permitía, incluso, recuperar los tokens de autentificación del usuario a través de una solicitud a un servidor controlado y, posteriormente, registrando las ‘cookies’ de rastreo de información.
Para determinar la gravedad de la vulnerabilidad, los investigadores de Microsoft probaron a enviar un enlace malicioso a un agente externo. Una vez hecho clic en esta URL, el link otorgaba estos tokens de los servidores que la plataforma TikTok pide a sus usuarios para verificar su identidad y acceder a sus correspondientes perfiles.
El grupo señaló que cualquier atacante pudo apoyarse en esta vulnerabilidad de la aplicación para secuestrar una cuenta sin el conocimiento de su usuario únicamente invitándole a clicar en uno de estos enlaces maliciosos.
👽👽👽 ¿Ya está enterado de las últimas noticias de tecnología? Lo invitamos a visitar nuestra sección en El Espectador.