TikTok sufre una brecha de seguridad de "gravedad alta", hackers podían robar cuentas con un solo clic

Microsoft descubrió un grave problema de seguridad en la aplicación de TikTok para Android que permitía el robo de cuentas con tan solo dar clic sobre un enlace malicioso.

Según la información compartida en el blog oficial de Microsoft, esta vulnerabilidad en TikTok podría haber sido utilizada para acceder a los perfiles de los usuarios y tomar control absoluto sobre las funciones de sus cuentas.

Esto implicaba la posibilidad de subir videos, mandar mensajes y ver videos almacenados en las cuentas de los usuarios.

Ahora bien, la vulnerabilidad se corrigió a tiempo y lo más probable es que nadie se haya visto afecto por dicha situación.

«La vulnerabilidad, que habría requerido que varios problemas se encadenaran para explotar, se ha solucionado y no localizamos ninguna evidencia de explotación en la naturaleza»

Microsoft

TikTok lanzará un programa de suscripciones esta misma semana: Aquí los detalles

¿Cómo pudo ser utilizada esta vulnerabilidad para tomar control sobre las funciones de una cuenta en TikTok?

La respuesta es muy sencilla y Microsoft se encargó de explicarla con precisión en la entrada de su blog:

«La vulnerabilidad permitió eludir la verificación de enlaces profundos de la aplicación. Así, los atacantes podrían haber obligado a la aplicación a cargar una URL arbitraria en el WebView de la aplicación, permitiendo que la URL accediera a los puentes JavaScript adjuntos al WebView»

Al tener acceso a los puentes de JavaScript en WebView, los hackers habrían tenido control absoluto sobre las cuentas y habrían ganado 70 formas de acceder rápidamente a la información de los usuarios.

Además de darles la posibilidad de recuperar los tokens de autenticación, gracias a que habría podido activar una solicitud en un servidor controlado.

Por otro lado, Microsoft menciona que el impacto potencial de esta vulnerabilidad fue enorme porque terminó afectando a todas las variantes de la aplicación para Android, que cuentan con más de 1.500 millones de descargas en Google Play Store.

Cabe destacar que TikTok respondió rápidamente a la notificación de Microsoft y logró contener el problema a tiempo, antes de que escalara a niveles incontrolables.

«TikTok respondió rápidamente, y elogiamos la resolución eficiente y profesional del equipo de seguridad»

Tanmay Ganacharya, Director Asociado de Investigación de Seguridad en Microsoft

Ahora, solo se sugiere a los usuarios de TikTok que se aseguren de estar utilizando la última versión de la aplicación para evitar cualquier problema relacionado al tema.