TikTok Exploit podría permitir que los atacantes ingresen a las cuentas de los usuarios

Heaven32 Comments
TikTok Exploit podría permitir que los atacantes ingresen a las cuentas de los usuarios

El logotipo de TikTok en un teléfono frente a una pantalla que muestra el nombre y el logotipo de Microsoft

Los investigadores de seguridad de Microsoft le dijeron a TikTok sobre una falla de seguridad bastante importante en febrero, y la compañía dijo que ese exploit ya se ha reparado.
Foto: cindy ord (imágenes falsas)

Los investigadores de seguridad revelaron que descubrieron un agujero masivo en la seguridad de TikTok que afectó a todos los usuarios quién tiene descargó la aplicación en dispositivos Android en todo el mundo. Pero si hay algún indicio persistente de que algún usuario se vio afectado por esta vulnerabilidad de seguridad de “alta gravedad”, entonces TikTok no lo dice.

Investigadores de Microsoft 365 Defender reportado el miércoles sobre una vulnerabilidad grave en la versión de Android de la aplicación TikTok, una que podría haber permitido que los malos actores accedan potencialmente a todos los aspectos de un del usuario cuenta. Los investigadores dijeron que revelaron el exploit a TikTok en febrero a través de su página de informes de vulnerabilidad

.

Se incluyó una solución para el problema en una actualización lanzada dentro de un mes, aunque ni la compañía ni los investigadores pudieron decir cuánto tiempo había existido la vulnerabilidad.

Este exploit daría acceso a personas malintencionadas a una cuenta de personas simplemente si hicieran clic en un enlace especial. Dentro del JavaScript del sistema, las personas con acceso podían modificar la información del usuario o la configuración del perfil. Cualquier mal actor podría haber hecho públicos los videos privados, enviado mensajes a amigos o extraños., o incluso subir videos a la cuenta del usuario. Hay muchas cosas aquí que son problemáticas, pero quizás el uso más obvio sería recopilar información de la cuenta de los usuarios, incluidas contraseñas, correos electrónicos u otros datos confidenciales. Los investigadores dijeron que el vulnerabilidad

fue calificado como de “gravedad alta”.

TikTok no respondió a las preguntas de Gizmodo sobre si sabía si algún usuario había sido afectado previamente por el exploit, aunque los investigadores descubrieron que el exploit estaba presente tanto en la versión de Asia Oriental de la aplicación como en la versión de TikTok que usa el resto del mundo, por lo que esencialmente todos los 1.500 millones de personas que descargó el extremadamente popular y lucrativo La aplicación de Google Play Store podría haber sido susceptible.

G/O Media puede recibir una comisión

En cambio, en una declaración por correo electrónico, un portavoz de TikTok reiteró los puntos expresados ​​en la publicación del blog de los investigadores de Microsoft y agregó: “A través de nuestra asociación con los investigadores de seguridad de Microsoft, descubrimos y solucionamos rápidamente una vulnerabilidad en algunas versiones anteriores de la aplicación de Android. Agradecemos a los investigadores de Microsoft por sus esfuerzos para ayudar a identificar problemas potenciales para que podamos resolverlos”.

La empresa también señaló su explotar la página de recompensas se ejecuta junto con HackerOne para tratar de acabar con los exploits antes de que tengan la oportunidad de dañar a los usuarios. Por su parte, los investigadores agradecieron al equipo de seguridad de TikTok “por colaborar de manera rápida y eficiente en la resolución de estos problemas”.

Entonces, ¿cómo funcionó todo esto? Esencialmente, los investigadores encontraron que TikTok tenía una vulnerabilidad en la forma en que realizaba solicitudes HTTP autenticadas, específicamente aquellas que permitían enlace profundo móvil funcionalidad que permite acceder a diferentes partes de la aplicación sin tener que entrar en la propia aplicación. ¿Alguna vez ha accedido a una publicación de Twitter desde un correo electrónico o alguna otra plataforma? Eso es esencialmente un vínculo profundo.

Al navegar en este código, los investigadores podrían pasar por alto la verificación de enlace profundo y acceder al token de autenticación de un usuario cuando ese usuario hace clic en un enlace malicioso especial en un servidor controlado que les permite registro de cookies. Ese mismo servidor puede devolver una página HTML con código JavaScript que puede realizar cualquier cantidad de modificaciones en la cuenta.

Los investigadores pusieron especial énfasis en el peligro que demuestran las interfaces de JavaScript no seguras y agregaron que “recomendamos que la comunidad de desarrolladores sea consciente de los riesgos y tome precauciones adicionales para proteger WebView”. Recientemente, un investigador de seguridad independiente JavaScript descubierto en TikTok que potencialmente podría registrar todas las entradas de los usuarios cuando estaban en el navegador de la aplicación. TikTok negó expresamente que haya usado ese script para registrar el teclado de cualquiera de sus usuarios, y que el código estaba allí para fines de depuración y solución de problemas de back-end.