TikTok ha estado dedicando mucho tiempo a las vulnerabilidades de seguridad últimamente, pero al menos una posible brecha de seguridad, señalada por Microsoft, parece haber pasado desapercibida. Eso se basa en informes recientes que detallan la violación, que efectivamente afectó a todos los usuarios de TikTok en el mundo.
Para ser claros, Microsoft vio la brecha en febrero. Luego informó el problema a través de la Divulgación coordinada de vulnerabilidades (CVD) a través de Microsoft Security Vulnerability Research (MSVR). TikTok, una vez informado, corrigió el incumplimiento en un mes. Así que los usuarios en realidad no se vieron afectados en absoluto. Pero podría haber sido mucho peor.
¿Qué brecha encontró Microsoft en la aplicación de seguridad TikTok de Android?
Ahora la brecha en sí era el resultado de un conjunto cada vez mayor de problemas. Eso es especialmente cierto para la versión de Android de la aplicación de redes sociales mejor clasificada. Y con versiones a partir de la 23.7.3. Todo esto culminó en una sola vulnerabilidad que, cuando se explotó, habría brindado a los atacantes una gran cantidad de formas de acceder a los datos y cuentas de los usuarios en hasta 1.500 millones de instalaciones. La friolera de 70 maneras, de hecho.
En cuanto a cómo funcionó la vulnerabilidad en cuestión, Microsoft señala que la aplicación de Android para TikTok hizo posible eludir por completo la autenticación de enlace profundo de la aplicación. Eso, a su vez, significa que un atacante podría haber forzado a la aplicación a cargar una URL en WebView. Y desde esa URL, a través de puentes de JavaScript, el atacante habría accedido a los datos del usuario, así como a los tokens de autenticación para obtener acceso completo a la cuenta.
La última parte del ataque habría funcionado a través de una solicitud a un servidor controlado y el registro de cookies y encabezados de solicitud.
Básicamente, los atacantes podrían haber lanzado un ataque engañando a los usuarios para que hicieran clic en un solo enlace para abrir una URL. A partir de ahí, el atacante no solo habría obtenido acceso a los datos personales del usuario. Pero también para videos privados, mensajes y cualquier otro aspecto de la cuenta de TikTok del usuario. Incluye la posibilidad de subir vídeos.
