Se ha solucionado una vulnerabilidad de alta gravedad en la aplicación TikTok para Android. La falla podría permitir a los atacantes hacerse cargo de las cuentas de los usuarios al engañar a los usuarios para que hagan clic en un enlace malicioso.. Descubierto por Microsoft, la vulnerabilidad ya ha sido fijado.
Artículo relacionado: Influenciadores de TikTok de alto perfil dirigidos a campañas de phishing
La explotación exitosa de la falla de TikTok habría requerido que se cambiaran varias fallas juntas, microsoft dijo. Afortunadamente, hasta el momento no se ha descubierto evidencia de hazañas en estado salvaje. “Los atacantes podrían haber aprovechado la vulnerabilidad para secuestrar una cuenta sin que los usuarios se dieran cuenta si un usuario objetivo simplemente hiciera clic en un enlace especialmente diseñado.,”La empresa señaló.
Como resultado, los atacantes habrían podido modificar los perfiles de TikTok y acceder a los datos confidenciales de los usuarios. La falla podría haber llevado a publicar videos privados., enviando mensajes, y subir videos en nombre de cuentas victimizadas.
CVE-2022-28799: Resumen técnico
En términos técnicos, la vulnerabilidad, ahora conocido como CVE-2022-28799, permitió eludir la verificación de enlace profundo de la aplicación. Como resultado, los piratas informáticos podrían cargar una URL arbitraria en WebView de la aplicación, permitir que la URL acceda a los puentes de JavaScript atacados de WebView.
Según la descripción oficial del CVE, la aplicación TikTok antes 23.7.3 para Android permite la adquisición de cuenta. Una URL manipulada o un enlace profundo no validado podría forzar a com.zhiliaoapp.musically WebView a cargar un sitio web arbitrario. Esta acción podría permitir que un actor de amenazas aproveche una interfaz de JavaScript adjunta para un ataque de adquisición con un solo clic..
"Hemos investigado previamente los puentes de JavaScript por sus posibles implicaciones de gran alcance. Enfatizando la importancia de tener cuidado al hacer clic en enlaces desconocidos, Esta investigación también muestra cómo es necesaria la colaboración dentro de la comunidad de seguridad para mejorar las defensas del ecosistema digital en general.," microsoft añadió.
Tras realizar una evaluación de vulnerabilidades de TikTok, los investigadores determinaron que la vulnerabilidad afectó a ambos sabores de TikTok para Android, con más que 1.5 mil millones de instalaciones combinadas a través de Google Play Store. Después de la divulgación, TikTok lanzó rápidamente una solución para CVE-2022-28799. Los usuarios de TikTok deben asegurarse de estar usando la última versión de la aplicación TikTok..