imágenes falsas
Microsoft dijo el miércoles que recientemente identificó una vulnerabilidad en la aplicación de Android de TikTok que podría permitir a los atacantes secuestrar cuentas cuando los usuarios no hacían más que hacer clic en un solo enlace erróneo. El fabricante de software dijo que notificó a TikTok sobre la vulnerabilidad en febrero y que la compañía de redes sociales con sede en China solucionó la falla, que se rastrea como CVE-2022-28799.
La vulnerabilidad residía en cómo la aplicación verificaba lo que se conoce como enlaces profundos, que son hipervínculos específicos de Android para acceder a componentes individuales dentro de una aplicación móvil. Los enlaces profundos deben declararse en el manifiesto de una aplicación para su uso fuera de la aplicación, por lo que, por ejemplo, alguien que hace clic en un enlace de TikTok en un navegador, el contenido se abre automáticamente en la aplicación TikTok.
Una aplicación también puede declarar criptográficamente la validez de un dominio URL. TikTok en Android, por ejemplo, declara el dominio m.tiktok.com. Normalmente, la aplicación TikTok permitirá que el contenido de tiktok.com se cargue en su componente WebView, pero prohibirá que WebView cargue contenido de otros dominios.
“La vulnerabilidad permitió omitir la verificación de enlace profundo de la aplicación”, escribieron los investigadores. “Los atacantes podrían obligar a la aplicación a cargar una URL arbitraria en la vista web de la aplicación, lo que permitiría que la URL acceda a los puentes de JavaScript adjuntos de la vista web y otorgue funcionalidad a los atacantes”.
Los investigadores crearon un exploit de prueba de concepto que hizo exactamente eso. Implicaba enviar a un usuario de TikTok objetivo un enlace malicioso que, al hacer clic, obtenía los tokens de autenticación que los servidores de TikTok requieren para que los usuarios demuestren la propiedad de su cuenta. El enlace de PoC también cambió la biografía del perfil del usuario objetivo para mostrar el texto “¡¡¡INCURRIMIENTO DE SEGURIDAD !!”
“Una vez que el usuario de TikTok objetivo hace clic en el enlace malicioso especialmente diseñado del atacante, el servidor del atacante, https://www.attacker[.]com/poc, tiene acceso completo al puente de JavaScript y puede invocar cualquier funcionalidad expuesta”, escribieron los investigadores. “El servidor del atacante devuelve una página HTML que contiene código JavaScript para enviar tokens de carga de video al atacante, así como cambiar la biografía de perfil”.
Microsoft dijo que no tiene evidencia de que la vulnerabilidad haya sido explotada activamente en la naturaleza.