¿Usas TikTok? Si es así, debes estar alerta, ya que se descubrió una vulnerabilidad en la aplicación Android de la plataforma. Este exploit le permitió a los piratas informáticos apoderarse de cualquier cuenta con tan solo hacer clic en un enlace malicioso. Sin duda, podría haber afectado a cientos de millones de usuarios de la plataforma.
El equipo de investigación 365 Defender de Microsoft fueron los que descubrieron esta vulnerabilidad en TikTok. Y conocemos los detalles gracias a una publicación de blog que compartieron el día de hoy. La vulnerabilidad fue revelada a TikTok por Microsoft y desde entonces fue parcheada.
Más detalles sobre la vulnerabilidad de TikTok
El error que vieron en TikTok y su ataque se etiquetaron como «vulnerabilidad de alta gravedad». Este podría haberse utilizado para secuestrar la cuenta de cualquier usuario de TikTok en Android, una vez que alguien hiciera clic en un enlace especialmente diseñado para ello. Después de hacer clic en el enlace, el atacante tendría acceso a todas las funciones principales de la cuenta. Incluyendo la capacidad de cargar, publicar videos, enviar mensajes a otros usuarios y ver videos privados almacenados en la cuenta.
El impacto potencial fue enorme, debido a que afectó a todas las variantes globales de la aplicación Android TikTok. Sin embargo, no hay evidencia de que la vulnerabilidad haya sido explotada a gran escala. Los investigadores involucrados en el descubrimiento y la divulgación felicitaron a TikTok por su rápida respuesta.
Tanmay Ganacharya, director asociado de investigación de seguridad en Microsoft Defender, comentó: “Les dimos información sobre la vulnerabilidad y colaboramos para ayudar a solucionar este problema. TikTok respondió rápidamente y elogiamos la resolución eficiente y profesional del equipo de seguridad”.
De acuerdo con la publicación de blog, la vulnerabilidad afectó la funcionalidad de enlace profundo de la aplicación de Android. ¿Y qué significa esto? Pues que el manejo de enlaces profundos le dice al sistema operativo que permita que ciertas aplicaciones procesen los enlaces de una manera específica.
Dicho manejo de enlaces también incluye un proceso de verificación, uno que debería restringir las acciones realizadas cuando una aplicación carga un enlace determinado. Pese a ello, los investigadores hallaron una manera de eludir este proceso de verificación y ejecutar una serie de funciones potencialmente armables dentro de la app.
¿Cuáles son las funciones que encontraron los investigadores?
Estas son algunas de las funciones y cómo operan:
- Permiten recuperar un token de autenticación. Dicho token está vinculado a una determinada cuenta de usuario.
- ¿Y qué permite esto? Pues otorga acceso a la cuenta sin necesidad de ingresar una contraseña.
Los investigadores llevaron a cabo un ataque de prueba de concepto creando un enlace malicioso. Uno que, al hacer clic, cambiaba la biografía de una cuenta de TikTok para que dijera «VIOLACIÓN DE SEGURIDAD”.
Afortunadamente, la vulnerabilidad fue detectada a tiempo. Y Microsoft aprovechó la oportunidad para enfatizar la importancia de la colaboración y la coordinación entre las plataformas tecnológicas y los proveedores.
Esperamos que esto no vuelva a suceder y que la vulnerabilidad de TikTok haya sido eliminada con éxito.
