Microsoft ha revelado detalles de una vulnerabilidad de alta gravedad en la aplicación TikTok para Android. El equipo de investigación de Microsoft 365 Defender comparte la noticia del fallo de seguridad, ya corregido, que, según la compañía, podría haber permitido a un atacante hacerse con la cuenta de una víctima con solo hacer clic en un enlace malicioso.
Con cientos de millones de usuarios en todo el mundo, TikTok es una de las plataformas sociales más populares del momento; el daño potencial de la explotación exitosa de una vulnerabilidad de este tipo es enorme.
Afortunadamente, como señala Microsoft, no hay evidencia de que la vulnerabilidad haya sido explotada en la naturaleza. Esto se debe en parte al hecho de que, aunque a la vulnerabilidad se le ha asignado una etiqueta de gravedad alta, su explotación exitosa requeriría que un atacante se aprovechara de varios problemas de seguridad sucesivamente.
En una publicación del blog sobre el descubrimiento, la empresa dice:
Microsoft descubrió una vulnerabilidad de alta gravedad en la aplicación de TikTok para Android, que podría haber permitido a los atacantes comprometer las cuentas de los usuarios con un solo clic. La vulnerabilidad, que habría requerido el encadenamiento de varios problemas para ser explotada, ha sido corregida y no hemos localizado ninguna evidencia de explotación in-the-wild. Los atacantes podrían haber aprovechado la vulnerabilidad para secuestrar una cuenta sin que los usuarios se dieran cuenta si un usuario objetivo simplemente hacía clic en un enlace especialmente diseñado. Los atacantes podrían haber accedido y modificado los perfiles de TikTok de los usuarios y su información sensible, por ejemplo, publicando vídeos privados, enviando mensajes y subiendo vídeos en nombre de los usuarios.
Microsoft continúa explicando:
La vulnerabilidad permitía eludir la verificación de enlace profundo de la aplicación. Los atacantes podían obligar a la aplicación a cargar una URL arbitraria en la WebView de la aplicación, lo que permitía que la URL accediera a los puentes JavaScript adjuntos de la WebView y concediera funcionalidad a los atacantes.
Un desglose detallado de la forma en que la aplicación TikTok ha implementado las interfaces de JavaScript, y la forma en que esto abrió el potencial de secuestro, se explica en la entrada del blog de Microsoft.
Fuente WEB | Editado por CambioDigital OnLine