En febrero, Microsoft descubrió y notificó un fallo de alta gravedad en la aplicación de TikTok para Android. Esta permitía a los atacantes tomarán el control de las cuentas “de forma rápida y silenciosa” con un solo clic.
Microsoft encontró un fallo de seguridad en TikTok Android que permitía a los ciberdelincuentes secuestrar cuentas, así lo reveló en un reporte publicado recientemente, Los de Redmond señalaron que la vulnerabilidad permitía a los atacantes acceder a la dirección de correo electrónico y la contraseña de un usuario, así como a cualquier otra información asociada a su cuenta de TikTok. TikTok ya corrigió el fallo, pero los usuarios deben estar atentos a los correos electrónicos y enlaces sospechosos.
Microsoft encontró fallo de seguridad en la app de TikTok para Android
En su reporte, Microsoft dice que la vulnerabilidad estaba presente en las versiones de la aplicación de Android. Una vez que han accedido a tu cuenta, los ciberdelincuentes son capaces de cambiar tu contraseña, bloquear tu cuenta e incluso eliminarla por completo.
No es la primera vez que Microsoft descubre una vulnerabilidad importante en el software de TikTok: el año pasado, encontraron tres fallos diferentes que podrían haber permitido a los hackers hacerse con las cuentas y robar información personal como direcciones y números de teléfono. También han encontrado vulnerabilidades en otras aplicaciones populares como Instagram y Facebook Messenger.
“Los atacantes podrían haber aprovechado la vulnerabilidad para apropiarse de una cuenta sin que los usuarios lo notaran. Solo hacía falta que un usuario objetivo simplemente hacía clic en un enlace especialmente diseñado“, dijo Dimitrios Valsamaras, del equipo de investigación de Microsoft 365 Defender. “Los ciberdelincuentes podrían entonces haber accedido y modificado los perfiles de TikTok de los usuarios y su información sensible, como por ejemplo publicando vídeos privados, enviando mensajes y subiendo vídeos en nombre de los usuarios.”
¿Cómo funciona?
Los especialistas de seguridad de Microsoft revelaron que al hacer clic en un enlace maligno, se abren más de 70 métodos de JavaScript con los que se podría vulnerar las cuentas de los usuarios de TikTok. En el proceso, un atacante utiliza la ayuda de un exploit diseñado para secuestrar la WebView de la aplicación -un componente del sistema Android utilizado por la aplicación vulnerable para mostrar contenido web.
Utilizando los métodos expuestos, los actores de la amenaza podrían acceder o modificar la información privada de los usuarios de TikTok o realizar peticiones HTTP autenticadas.
En resumen, los atacantes que hubieran logrado explotar esta vulnerabilidad con éxito podrían haber:
-
-
- Recuperado los tokens de autenticación de los usuarios (lanzando una petición a un servidor bajo su control y registrando la cookie y las cabeceras de la petición).
- Obtener y modificar los datos de la cuenta de TikTok de los usuarios, incluidos los vídeos privados y la configuración del perfil. Lo cual hubiera sido posible activando una solicitud a un punto final de TikTok y recuperando la respuesta a través de la devolución de llamada de JavaScript.
-
“Se encontró una vulnerabilidad de WebView Hijacking en la aplicación Android de TikTok a través de un deeplink no validado en un parámetro no saneado. Esto podría haber dado lugar a un secuestro de cuentas a través de una interfaz JavaScript”, explica además el informe de HackerOne.
Problema corregido, no se ha explotado en los ataques
La vulnerabilidad de seguridad, rastreada como CVE-2022-28799, ya está corregida desde el lanzamiento de la versión 23.7.3 de TikTok, publicada menos de un mes después de la revelación inicial de Microsoft. Microsoft afirma que aún no ha encontrado pruebas de que el CVE-2022-28799 haya sido explotado en la naturaleza.
Los usuarios de TikTok pueden defenderse de problemas similares no haciendo clic en enlaces de fuentes no fiables, manteniendo sus aplicaciones actualizadas, instalando únicamente aplicaciones de fuentes oficiales e informando de cualquier comportamiento extraño de la aplicación lo antes posible.
En el informe de Microsoft se puede encontrar información adicional sobre cómo esta vulnerabilidad podría haber sido utilizada en ataques para la toma de posesión de cuentas.
Es crucial para cualquier desarrollador de aplicaciones mantener su software seguro en todo momento, porque si alguien entra en tu cuenta, podría significar graves problemas para ti, ¡e incluso peores consecuencias para ellos!