Una vulnerabilidad de alta gravedad en la aplicación TikTok para Android podría haber permitido el secuestro de cuentas "con un solo clic", según ha revelado Microsoft.
En un documento publicado en el blog de Seguridad de Microsoft, la compañía informó que se podría haber abusado de una cadena de problemas para crear un escenario en el que una cuenta podría ser comprometida con una sola pulsación de un enlace especialmente diseñado.
"Los atacantes podrían entonces haber accedido y modificado los perfiles de TikTok de los usuarios y su información sensible, como por ejemplo publicando vídeos privados, enviando mensajes y subiendo vídeos en nombre de los usuarios", explicó Microsoft.
Los fallos de seguridad de TikTok
Se dice que la vulnerabilidad en cuestión ha estado presente en todas las versiones del cliente de TikTok para Android, que se han instalado colectivamente más de 1.500 millones de veces.
El problema giraba en torno a la implementación de interfaces JavaScript de la aplicación, que se utilizan ampliamente en TikTok para Android. El informe profundiza en los detalles técnicos, pero, en esencia, al explotar el manejo de las interfaces de JavaScript de la aplicación, en combinación con la forma en que Android enruta las URL, Microsoft pudo demostrar que las cuentas estaban comprometidas.
Afortunadamente, los investigadores no descubrieron ninguna prueba de que la vulnerabilidad se hubiera explotado en la red, y el problema fue parcheado poco después de que se revelara en febrero. Según Microsoft, el equipo de seguridad de TikTok debe ser elogiado por la rapidez y eficiencia de su respuesta.
"Este caso muestra cómo la capacidad de coordinar la investigación y el intercambio de inteligencia sobre amenazas a través de la colaboración entre expertos y la industria es necesaria para mitigar los problemas de manera efectiva", dijo Dimitrios Valsamaras, del equipo de investigación de Microsoft 365 Defender.
"A medida que las amenazas a través de las plataformas continúan creciendo en número y sofisticación, las revelaciones de vulnerabilidad, la respuesta coordinada y otras formas de intercambio de inteligencia de amenazas son necesarias para ayudar a asegurar la experiencia informática de los usuarios, independientemente de la plataforma o el dispositivo en uso."
Aunque el parche ya habrá llegado a la mayoría de los usuarios de TikTok, los usuarios preocupados pueden garantizar que están protegidos actualizando su aplicación a la última versión.
