Una vulnerabilidad en la aplicación TikTok para Android podría haber permitido a los atacantes tomar el control de cualquier cuenta que hiciera clic en un enlace malicioso, afectando potencialmente a cientos de millones de usuarios de la plataforma.
Los detalles del exploit de un solo clic se han revelado hoy en una publicación del blog de los investigadores del equipo de investigación de Microsoft 365 Defender. La vulnerabilidad fue revelada a TikTok por Microsoft, y ya ha sido parcheada.
El fallo y el ataque resultante, etiquetado como "vulnerabilidad de alta gravedad", podrían haber sido utilizados para secuestrar la cuenta de cualquier usuario de TikTok en Android sin su conocimiento, una vez que hicieran clic en un enlace especialmente diseñado. Una vez pulsado el enlace, el atacante tendría acceso a todas las funciones principales de la cuenta, incluida la posibilidad de subir y publicar vídeos, enviar mensajes a otros usuarios y ver los vídeos privados almacenados en la cuenta.
- Vestel : está colocando a TikTok en televisores basados en Linux
- ByteDance está vendiendo la Inteligencia Artificial de TikTok
- YouTube Shorts: Crea videos cortos como en TikTok
El impacto potencial era enorme, ya que afectaba a todas las variantes globales de la aplicación TikTok para Android, que tiene un total de más de 1.500 millones de descargas en Google Play Store. Sin embargo, no hay evidencia de que haya sido explotado por malos actores", dijo la portavoz de TikTok, Maureen Shanahan. "Los investigadores involucrados en el descubrimiento y la divulgación elogiaron a TikTok por una rápida respuesta".
Microsoft confirmó que TikTok respondió rápidamente al informe. "Les dimos información sobre la vulnerabilidad y colaboramos para ayudar a solucionar este problema", dijo a The Verge Tanmay Ganacharya, socio director de investigación de seguridad de Microsoft Defender for Endpoint. "TikTok respondió rápidamente, y elogiamos la resolución eficiente y profesional del equipo de seguridad".
Según los detalles publicados en la entrada del blog, la vulnerabilidad afectaba a la funcionalidad de enlaces profundos de la aplicación para Android. Esta gestión de enlaces profundos indica al sistema operativo que permita a ciertas apps procesar los enlaces de una manera específica, como por ejemplo abrir la app de Twitter para seguir a un usuario después de hacer clic en un botón HTML "Seguir esta cuenta" incrustado en una página web.
Este manejo de enlaces también incluye un proceso de verificación que debería restringir las acciones realizadas cuando una aplicación carga un enlace determinado. Pero los investigadores encontraron una forma de saltarse este proceso de verificación y ejecutar una serie de funciones potencialmente armables dentro de la app.
Una de estas funciones les permitía recuperar un token de autenticación vinculado a una determinada cuenta de usuario, concediendo efectivamente el acceso a la cuenta sin necesidad de introducir una contraseña. En un ataque de prueba de concepto, los investigadores crearon un enlace malicioso que, al hacer clic, cambiaba la biografía de una cuenta de TikTok para que dijera "SECURITY BREACH".
- La Agencia de Ciberseguridad de EE. UU. enumera las 15 vulnerabilidades de software más explotadas de 2021
- El malware FontOnLake ataca los sistemas Linux en ataques dirigidos
- La Inteligencia Artificial, es el mejor aliado de la ciberseguridad
Afortunadamente, la vulnerabilidad fue detectada, y Microsoft ha aprovechado la oportunidad para destacar la importancia de la colaboración y la coordinación entre las plataformas tecnológicas y los proveedores.
"A medida que las amenazas a través de las plataformas siguen creciendo en número y sofisticación, la divulgación de vulnerabilidades, la respuesta coordinada y otras formas de intercambio de inteligencia sobre amenazas son necesarias para ayudar a asegurar la experiencia informática de los usuarios, independientemente de la plataforma o el dispositivo en uso", escribió Dimitrios Valsamaras de Microsoft en la entrada del blog. "Seguiremos trabajando con la comunidad de seguridad más amplia para compartir la investigación y la inteligencia sobre las amenazas en el esfuerzo por construir una mejor protección para todos".
Aunque no se sabe que la aplicación TikTok haya sufrido ningún hackeo importante hasta ahora, algunos críticos la han tachado de riesgo para la seguridad por otros motivos.
Recientemente, ha surgido la preocupación por el grado de acceso a los datos de los usuarios estadounidenses por parte de los ingenieros con sede en China de ByteDance, la empresa matriz de TikTok. En julio, los líderes del Comité de Inteligencia del Senado pidieron a la presidenta de la FTC, Lina Khan, que investigara a TikTok después de que los informes pusieran en tela de juicio las afirmaciones de que los datos de los usuarios estadounidenses estaban amurallados por la rama china de la empresa.
Fuente: microsoft | somoslibres
