Los investigadores de Microsoft descubrieron una grave vulnerabilidad en TikTok que amenazaba la seguridad de las cuentas de los usuarios. Específicamente, encontraron una vulnerabilidad de apropiación de cuenta en la aplicación de Android TikTok.
Como se explicó en una publicación de blog reciente, el equipo de investigación de Microsoft analizó la aplicación TikTok para Android y encontró una vulnerabilidad de apropiación de cuenta. Los investigadores explicaron que observaron los «sabores» de la aplicación TikTok: com.ss.android.ugc.trill (para Asia oriental y sudoriental) y com.zhiliaoapp.musicalmente (para otras regiones) – y noté la vulnerabilidad que afectaba a ambas versiones.
Específicamente, explotar la falla implica explotar Android WebView a través de JavaScript malicioso para ejecutar varios comandos. Un atacante podría desencadenar fácilmente la vulnerabilidad al enviar un enlace malicioso al usuario objetivo de TikTok. Luego, si la víctima prevista abre el enlace a través de TikTok, WebView de Android cargará el sitio. Por lo tanto, el sitio podría cargar los códigos JavaScript maliciosos de sus servidores que invocarían el método Java.
La exposición posterior de los métodos de Java al atacante permitió el secuestro de la cuenta TikTok de destino a través de WebView.
En un escenario del mundo real, un atacante que explote esta vulnerabilidad podría recuperar los tokens de autenticación del usuario objetivo, acceder a la información de la cuenta, modificar los detalles de la cuenta e incluso acceder a videos privados.
Los investigadores compartieron los detalles técnicos y la prueba de concepto de este ataque en su artículo.
Tras este descubrimiento, los investigadores se pusieron en contacto con el equipo de TikTok para informar del asunto. A este problema de seguridad se le ha asignado el número de identificación CVE-2022-28799 y una puntuación de gravedad de 8,3. Según la descripción del error en un informe de HackerOne,
Se encontró una vulnerabilidad de secuestro de WebView en la aplicación de Android TikTok a través de un enlace profundo no validado en una configuración sin limpiar. Esto podría haber resultado en una toma de control de la cuenta a través de una interfaz de JavaScript.
Desde entonces, TikTok corrigió la vulnerabilidad y lanzó la solución con TikTok para la versión de Android 23.7.3. TikTok lanzó muchas actualizaciones de aplicaciones posteriores.
¿Has notado aplicaciones desconocidas o un drenaje inesperado de la batería? Estos podrían ser indicios…
Saber cómo Restablecer un iPhone a su Estado de Fábrica es clave para solucionar problemas…
Motorola ha confirmado el lanzamiento de Moto G84 5G y Moto G54 5G en India,…
Recuerde WizardCoder, ¿el codificador de IA que cubrimos recientemente aquí en Windows Report? Nos jactamos…
Los investigadores han descubierto numerosos fallos de seguridad en el complemento WordPress Jupiter X Core…
Para solucionar problemas del sistema de PC con Windows, necesitará una herramienta dedicada Fortect es…