Microsoft acaba de anunciar que encontró un fallo de muy alta gravedad, la cuál es denominada cómo la falla de TikTok en Android en febrero, dicha falla permitió a los atacantes acceder a las cuentas de los usuarios de una forma rápida y sin dejar rastro alguno.
Con tan sólo un solo clic logró engañar a todos sus objetivos, para que éstos hicieran clic en un enlace malicioso especialmente diseñado para este tipo de trabajos.
Te puede interesar | TikTok Music es real y será el contrincante de Spotify y YouTube Music ¡La competencia es real y será fuerte!
Dimitrios Valsamaras, del equipo de investigación de Microsoft 365 Defender, dio a relucir el siguiente mensaje:
Los atacantes podrían haber aprovechado tal vulnerabilidad, pasa secuestrar la cuenta de cualquier usuario sin el conocimiento de este, sólo se necesitaba que el usuario hiciera clic en un enlace especialmente diseñado para tal acción de ataque.
El verdadero problema comienza cuando los mismos atacantes podrían haber accedido y modificado posteriormente los perfiles de TikTok de sus víctimas, modificando su información personal.
Además de esto, podrían haber publicado vídeos privados, enviado mensajes y hasta cargar vídeos en nombre de los usuarios dueños de dichas cuentas, una acción realmente peligrosa.
A continuación, te diremos cómo los atacantes accedían a las cuentas de los usuarios de esta aplicación, y por medio de qué método se daba esta falla de TikTok en Android.
Cómo los atacantes usaban esta falla de TikTok en Android para robar las cuentas de los usuarios
Al hacer clic en el enlace malicioso los usuarios se exponen a más de 70 métodos de JavaScript, el cual un atacante podría abusar con ayuda de un exploit diseñado para secuestrar la WebView de la aplicación TikTok.
Este es un componente del sistema Android usado por la aplicación vulnerable para mostrar contenido web, usando los métodos que hemos expuesto, los hackers accedían y modificaban información privada de los usuarios de TikTok, además de realizar solicitudes HTTP autenticadas.
En resumen, podemos decir que los atacantes que hubieran logrado explotar dicha vulnerabilidad con éxito, podrían haber logrado fácilmente las siguientes acciones:
- Recuperar los tokens de autenticación de usuarios, activando una solicitud a una servidor bajo su completo control y registrando las cookies y los encabezados de dicha solicitud
- Recuperar o modificar los datos de las cuentas de TikTok de los usuarios, incluido sus videos privados y la configuración general del perfil, activando una solicitud a un punto final de TikTok y recuperando la respuesta a través de la devolución de llamada por el mismo JavaScript
Además del mismo Microsoft y su equipo de seguridad, HackerOne también ofreció un informe de tal vulnerabilidad, y explicó lo siguiente:
Se descubrió una vulnerabilidad de secuestro WebView en la aplicación de TikTok Android, a través de un enlace profundo no validado en un parámetro no desinfectado, esto podría haber resultado en un secuestro inminente de la cuenta a través de una interfaz de JavaScript.
La falla de TikTok en Android ya se encuentra parcheada, no explorador en ataques
La vulnerabilidad de seguridad que generó la falla de TikTok en Android, rastreada cómo la CVE-2022-28799 ya se encuentra parcheada desde el lanzamiento de la versión 23.7.3 de TikTok.
Dicha nueva versión de TikTok fue publicada después de un mes luego de la divulgación inicial por parte del gigante Microsoft, también destacó que aún no ha encontrado evidencia de que esta falla de TikTok en Android esté siendo explotada por naturaleza.
¿Cómo prevenir? Microsoft invita a todos los usuarios de TikTok a defenderse de tales ataques, al no hacer clic en enlaces de fuentes que no sean confiables, mantener su aplicación actualizada.
Cabe destacar, que no se deberá instalar aplicaciones que no sean de fuentes confiables, nunca está demás informar acerca de cualquier comportamiento extraño de la aplicación lo más antes posible.
En el informe presentado por Microsoft, se puede observar información adicional sobre cómo se podría haber usado esta falla de TikTok en Android en ataques para apoderarse de las cuentas de los usuarios afectados.
TikTok ya había hablado anteriormente de esta clase de problemas
En noviembre del año pasado TikTok anunció que había solucionado las vulnerabilidades, que permitían a los atacantes secuestrar de forma rápida las cuentas de los usuarios que se registraban a través de aplicaciones de terceros.
La compañía también ha atacado otras fallas de seguridad, que podrían haber permitido a los atacantes robar información personal de los usuarios o secuestrar sus cuentas para manipular sus vídeos.
Según datos revelados por el mismo Google, la aplicación de Android TikTok tiene más de mil millones de instalaciones, la aplicación ya superó con gran rapidez la marca de los 2 mil millones de instalaciones en todas las plataformas desde el mes de abril de 2020.
¿Qué opinas tú acerca de esta falla de TikTok en Android? No hay duda alguna que TikTok trabajó con gran rapidez y eficacia en pro de solucionar tal problema.
En Cultura Informática | ¿Espía TikTok a sus usuarios?, el CEO responde
