Lo que vas a encontrar...
Los investigadores de Microsoft descubrieron una grave vulnerabilidad en TikTok que amenazaba la seguridad de las cuentas de los usuarios. Específicamente, encontraron una vulnerabilidad de apropiación de cuenta en la aplicación de Android TikTok.
Vulnerabilidad de secuestro de cuenta de la aplicación TikTok
Como se explicó en una publicación de blog reciente, el equipo de investigación de Microsoft analizó la aplicación TikTok para Android y encontró una vulnerabilidad de apropiación de cuenta. Los investigadores explicaron que observaron los «sabores» de la aplicación TikTok: com.ss.android.ugc.trill (para Asia oriental y sudoriental) y com.zhiliaoapp.musicalmente (para otras regiones) – y noté la vulnerabilidad que afectaba a ambas versiones.
Específicamente, explotar la falla implica explotar Android WebView a través de JavaScript malicioso para ejecutar varios comandos. Un atacante podría desencadenar fácilmente la vulnerabilidad al enviar un enlace malicioso al usuario objetivo de TikTok. Luego, si la víctima prevista abre el enlace a través de TikTok, WebView de Android cargará el sitio. Por lo tanto, el sitio podría cargar los códigos JavaScript maliciosos de sus servidores que invocarían el método Java.
La exposición posterior de los métodos de Java al atacante permitió el secuestro de la cuenta TikTok de destino a través de WebView.
En un escenario del mundo real, un atacante que explote esta vulnerabilidad podría recuperar los tokens de autenticación del usuario objetivo, acceder a la información de la cuenta, modificar los detalles de la cuenta e incluso acceder a videos privados.
Los investigadores compartieron los detalles técnicos y la prueba de concepto de este ataque en su artículo.
TikTok solucionó la falla
Tras este descubrimiento, los investigadores se pusieron en contacto con el equipo de TikTok para informar del asunto. A este problema de seguridad se le ha asignado el número de identificación CVE-2022-28799 y una puntuación de gravedad de 8,3. Según la descripción del error en un informe de HackerOne,
Se encontró una vulnerabilidad de secuestro de WebView en la aplicación de Android TikTok a través de un enlace profundo no validado en una configuración sin limpiar. Esto podría haber resultado en una toma de control de la cuenta a través de una interfaz de JavaScript.
Desde entonces, TikTok corrigió la vulnerabilidad y lanzó la solución con TikTok para la versión de Android 23.7.3. TikTok lanzó muchas actualizaciones de aplicaciones posteriores.
