Microsoft reveló una vulnerabilidad de omisión de verificación en la aplicación de Android de TikTok que permitía el robo de las cuentas. Esta falla generó preocupaciones sobre la seguridad y la funcionalidad de la popular aplicación de redes sociales.
Microsoft detalló la vulnerabilidad de TikTok, rastreada como CVE-2022-28799, que podría permitir a los actores de amenazas secuestrar cuentas y publicar videos privados.
Además, permitía enviar mensajes y cargar videos en las cuentas de los usuarios.
Si bien TikTok solucionó la falla y Microsoft confirmó que no observó una explotación en la naturaleza, la vulnerabilidad aumentó las preocupaciones sobre el acceso a datos privados, así como la funcionalidad del navegador en la aplicación.
Microsoft informó que la vulnerabilidad de TikTok afectó a ambas versiones de la aplicación de Android. Esto, porque la compañía tiene una versión para el este y el sudeste de Asia y otra para todos los demás países, que tienen más de mil millones de descargas a través de la tienda Google Play.
TikTok solucionó
Por su parte, TikTok dijo que había “descubierto y solucionado rápidamente una vulnerabilidad en algunas versiones anteriores de la aplicación de Android”.
Los investigadores describieron un ataque de prueba de concepto y riesgos adicionales en la publicación del blog de Microsoft. Para explotar la falla, un atacante enviaría un enlace de phishing al usuario objetivo, que, si se hace clic, permitiría el acceso a información confidencial.
La vulnerabilidad de TikTok se encontró en la forma en que la aplicación de Android maneja los enlaces profundos, que Microsoft describió como “un hipervínculo especial que se vincula a un componente específico dentro de una aplicación móvil y consiste en un esquema y una parte de host”.
Según Microsoft, la falla permitió omitir la verificación del enlace profundo de la aplicación. Esto permitió a los investigadores colar un enlace malicioso en WebView, un componente de Android que ejecuta el navegador en la aplicación de TikTok.
